зелена книга
ПРАВОВІ ВЗАЄМОВІДНОСИНИ В ІНТЕРНЕТІ
зелена книга
ПРАВОВІ ВЗАЄМОВІДНОСИНИ В ІНТЕРНЕТІ
За результатами обговорень представників урядових структур, громадянського суспільства та фахівців ІТ-сфери, проведених протягом квітня-серпня 2019 року
џ
Загальна редакція
џ
Віталій Мороз џ
Автори Юлія Каздобіна Дмитро Дубов Анастасія Баровська Віталій Мороз
Дизайн та верстка Карина Строкань
џ
Літературна редакторка Оксана Плаксій
џ
Менеджерка проєкту Катерина Куницька
Зелену книгу «Правові взаємовідносини в інтернеті» підготовлено за результатами обговорень за участі представників урядових структур, громадянського суспільства та фахівців ІТ-сфери, що їх провела протягом квітнясерпня 2019 року ГО «Інтерньюз-Україна» в партнерстві з Українською фундацією безпекових студій. Зелена книга — результат пошуку точок дотику між державними й недержавними стейкхолдерами в сфері розвитку інтернету та інформаційної політики і спроб формування спільного погляду на проблеми в інформаційній сфері, включно з питаннями свободи інтернету та цифрових прав. Мета — покращити якість розробки нових законодавчих ініціатив в Україні у сфері інтернету та інформаційного простору. Зелена книга буде корисна в роботі над законодавчими ініціативами й допоможе законодавцям зрозуміти контекст викликів у сфері інтернету та інформаційного простору з огляду на міжнародні практики демократичного світу. Проект націлено й на представників громадянського суспільства та IT-спільноти, і на українських урядовців. Кінцеві бенефіціари проекту — громадяни України, зокрема й користувачі інтернету. Видання підготовлено в межах проекту «Зелена книга з управління інтернетом та інформаційної політики в Україні як інструмент адвокації в процесі вироблення рішень», який реалізує ГО «Інтерньюз-Україна» та фінансується Агентством США з міжнародного розвитку (USAID) через американську неурядову організацію «Counterpart International, Inc». Думки та погляди, висловлені у виданні, відображають позицію авторів та учасників закритих робочих зустрічей і можуть не збігатися з позицією Агентства США з міжнародного розвитку (USAID), американської неурядової організації «Counterpart International, Inc» та ГО «Інтерньюз-Україна». Сторінка проекту: https://netfreedom.org.ua © ГО «Інтерньюз-Україна», 2019
ЗМІСТ 4
ВСТУП
6
МЕТОДОЛОГІЯ ДОСЛІДЖЕННЯ
8
1. ІНТЕРНЕТ В УКРАЇНІ: АКТУАЛЬНА СТАТИСТИКА ТА СОЦІОЛОГІЯ
12
2. КЛЮЧОВІ ПИТАННЯ ПРАВОВИХ ВЗАЄМОВІДНОСИН В ІНТЕРНЕТІ:
12
2.1 Суб’єкти правовідносин в інтернеті
16
2.2 Управління інтернетом
22
2.3 Цифрові права: загальні підходи
30
2.4 Персональні дані
35
2.5 Взаємодія України (держава, громадянське суспільство) з Facebook, Google та Twitter
42
2.6 Регулювання контенту в інтернеті
55
2.7 Кібербезпека
61
ВИСНОВКИ
ВСТУП Впродовж усієї історії незалежної України мережа інтернет розвивалася тут за найсприятливіших для цього умов. Історично уряди не створювали значних перешкод для вільного розвитку мережі, і це невтручання давало можливості для виникнення конкурентного середовища провайдерів та операторів. Станом на 2019 рік в Україні зареєстровано приблизно 6000 провайдерів, тоді як на ринку працюють за різними даними від 1500 до 3500 надавачів послуг доступу до інтернету. Ринок операторів мобільного зв'язку, навпаки, консолідований —ключові позиції посідають три оператори. Зі зростанням ролі технологій і розвитком мережі інтернет у глобальних масштабах у онлайн-просторі почали складатися особливі суспільні відносини, що стали неодмінним атрибутом сучасного життя. Відтак у всьому світі, зокрема й в Україні, дедалі частіше постає питання, хто і як повинен формалізувати правовідносини в мережі: виключно держава (регулювання), через взаємодію держави з приватним бізнесом та громадянським суспільством (співрегулювання) чи взагалі не треба формалізувати ці відносини й залишити все у форматі добровільного саморегулювання на рівні користувачів і технічної спільноти? Станом на 2019 рік в Україні є об'єктивна потреба пошуку рішень щодо формування правовідносин у інтернеті: џ џ џ џ џ
мережа інтернет стала повноцінним простором реалізації прав та свобод громадян; безпекова ситуація надто гостро ставить питання віднайдення балансу між свободою слова та необхідністю захисту; стрімкий розвиток технологій водночас і формує нові можливості, і зумовлює нові ризики; нормативно-правової бази, що відповідала би поточним викликам і отримувала підтримку всіх стейкхолдерів, немає; активізувався процес становлення міжнародного права у сфері інтернету, передусім ідеться про акти Ради Європи та законодавство Європейського Союзу.
Навіть кожен окремий із перерахованих чинників можна вважати серйозною підставою звернутися до теми правовідносин у інтернеті, а коли маємо їх у сукупності — тим паче.
4
Започаткований ГО «Інтерньюз-Україна» та Українською фундацією безпекових студій проект зі створення Зеленої книги на тему правовідносин у інтернеті — результат суспільного запиту на якісне законодавство щодо інтернету. Законопроекти, які було запропоновано впродовж останніх кількох років, не витримували критики експертів, були незбалансованими, і громадянське суспільство їх не сприйняло. Водночас, як показали проведені дискусії, представники органів влади так само усвідомлюють, що поточне законодавство потребує вдосконалення. Основою проекту стало усвідомлення потреби «будувати мости» між тими, хто ухвалює рішення. Основні стейкхолдери в питаннях інтернету — урядові інституції, ІТ-спільнота й громадянське суспільство. Системна комунікація між ними перебуває тільки на початку свого становлення До того ж, стейкхолдери по-різному ідентифікують ключові аспекти управління інтернетом, дотримуються різних підходів. Зокрема громадянське суспільство більше переймається захистом прав і свобод в інтернеті, тоді як дискурс представників влади радше націлений на безпеку. Для консолідації поглядів і пропозицій стейкхолдерів було обрано формат Зеленої книги — документу, в якому буде задекларовано напрями та зміст політики щодо конкретної сфери чи питання, а також запропоновано альтернативи до обговорення. Зелені книги, як правило, передують Білим, у яких наводять конкретні рішення, у тому числі нормативно-правові акти. Відкрите публічне обговорення проблем, визначених у Зелених книгах, уможливлює формування широкого суспільного консенсусу щодо напрямів розвитку, змісту політики, механізмів її реалізації. Мета Зеленої книги «Правові взаємовідносини в інтернеті» — окреслити наявний спектр проблем у цій сфері та визначити на підставі експертних дискусій можливі й максимально прийнятні для всіх стейкхолдерів напрями розв'язання цих проблем. Зелена книга як документ, що визначає певний «коридор можливостей», спирається передусім на потреби та виклики, які постали перед Україною. Водночас у пошуку рішень за орієнтир узято міжнародні стандарти та норми.
5
МЕТОДОЛОГІЯ ДОСЛІДЖЕННЯ Основою підготовки Зеленої книги стала змішана методологія, що уможливила розв'язання двох ключових завдань: џ џ
структурування проблемного поля для обговорень; вибір формату обговорень.
Аби визначити теми для обговорень, було використано таку логічну послідовність дій. Спочатку виокремлено дві групи проблем щодо формування правовідносин у інтернеті: 1) ті, що не залежать від органів влади України, наприклад — розподіл доменних імен. Їх було залишено поза увагою; 2) ті, що потребують реагування влади: певної діяльності або, навпаки, утримання від дій. Цю групу проблем було взято до аналізу. За основу структурування проблем другої групи на підгрупи використано т. зв. піраміду суспільних проблем,1 що дала змогу охопити різні за рівнем усвідомленості проблеми: џ џ џ
маловідомі, погано зрозумілі на поточному етапі, але суттєві проблеми; нечіткі, відомі вузькому колу проблеми; широковідомі проблеми, що для розв'язання зазвичай потребують деталізації.
Наприклад, до впливів на виборчий процес 2016 року (Великобританія, США) проблема взаємодії держав із інформаційними гігантами не поставала гостро. Тоді вона належала до першої підгрупи. Наразі такою проблемою стали виклики впливу сучасних технологій, передусім «штучного інтелекту», на інформаційні правовідносини (наприклад, проблема «deep fakes»). Також до першої підгрупи можна віднести питання робототехніки, правових наслідків використання аддитивних технологій, біотеху тощо. Проблема GDPR, інтернетречей — приклади другої підгрупи, а блокування ресурсів — третьої.
1 https://www.ipas.org.ua/images/doc/Library/DistCourses/PublPolicy/1_Synopsis.pdf
6
У цілому структура проблемного поля правовідносин у інтернеті охоплює і проблеми, пов'язані з об'єктами управління (інтернет-ресурси, інформаційні потоки, дозволений і заборонений контент тощо), і власне проблеми самої системи управління (наднаціональної, національної). Усвідомлення та вирішення таких проблем у їх взаємозв'язку та динаміці потребує застосування системного підходу та прогностичного інструментарію. Заключним етапом у цьому завданні стало формулювання тем, запропонованих учасникам обговорень. Проте слід зазначити, що не кожна із запропонованих тем отримала відгук у аудиторії, чи принаймні одній із аудиторій, і не кожна тема викликала інтенсивну дискусію. Це також знайшло відображення у фінальному змісті Зеленої книги. Друге завдання полягало у виборі формату обговорень пропонованих тем. Зпоміж різних варіантів перевагу було віддано дискусії (від лат. discussio — розгляд, дослідження), що є методом організації цілеспрямованого та впорядкованого обміну думками, ідеями та судженнями у групі. Важлива ознака дискусії, яка вирізняє її серед інших видів обговорення, — аргументованість.2 Дискусія передбачає: џ џ
џ џ
активний процес обміну думками, ідеями; розгляд проблеми з різних позицій (полярність поглядів почасти було зумовлено не належністю до різних груп стейкхолдерів, а змістом діяльності, як-то технічна чи юридична); багатосторонню комунікацію; пошук нових рішень або «точок дотику».
У процесі підготовки Зеленої книги проведені дискусії уможливили: презентацію та аналіз особистого досвіду учасників обговорення (багато в чому діяльність представників органів влади стала зрозумілішою для інших стейкхолдерів); з'ясування ставлення до проблеми (наприклад, щодо законопроекту № 6688); визначення потенційно прийнятного та неприйнятного рішень (як-то механізм блокування ресурсів); пошук консенсусу. Ефективності проведених дискусій було досягнуто завдяки фаховості учасників та використанні правила Chatham House: зміст обговорення — публічний без зазначення імен учасників.
2 https://uk.wikipedia.org/wiki/%D0%94%D0%B8%D1%81%D0%BA%D1%83%D1%81%D1%96%D1%8F
7
1. ІНТЕРНЕТ В УКРАЇНІ: АКТУАЛЬНА СТАТИСТИКА ТА СОЦІОЛОГІЯ Попри негативні демографічні процеси (міграції, негативна динаміка в різниці між показниками народжуваності та смертності), інтернет в Україні набуває дедалі більшої популярності. Дослідники з Factum Group зазначили, що станом на вересень 2019 року кількість користувачів інтернету зросла до 71% населення й сягнула 22,96 мільйона.3 Із них 65% користувачів мають інтернет удома, а 22% користувачів виходять у інтернет виключно за допомогою смартфонів. Ще рік тому, у 2018 році, обсяг аудиторії інтернету в Україні сягав 21,4 млн мешканців — це дані рекламної компанії AdMixer.4 Проте показники охоплення інтернетом у різних дослідженнях дещо відрізняються. У серпні 2017 року компанія «Ґеміус» (Gemius) зафіксувала 22,1 мільйона інтернет-користувачів. 5 Серед усіх користувачів через настільні й портативні комп'ютери в мережу заходили 19,3 млн людей, через смартфони / мобільні телефони — 10,5 млн, через планшети — 2,6 млн. Значна частина користувачів мали доступ до інтернету з кількох пристроїв водночас.
3 https://www.epravda.com.ua/news/2019/10/11/652498// 4 https://blog.admixer.ua/wtf/wtf-online-audience-ukraine-upd/ 5 http://www.gemius.com.ua/vse-stati-dlja-chtenija/gemiusaudience-za-serpen-2017-roku.html
8
Цифри, що вказують на зростання проникнення інтернету в 2019 році, дають і дослідники компанії InMind, які провели дослідження в жовтні 2019 року на замовлення USAID-Internews. Відповідно до даних InMind, 71% українців щодня користуються інтернетом, і це на 12% перевищує показник минулого року.6 Загалом кількість постійних користувачів інтернету за 5 років зросла з 48 до 72%. Водночас кількість українців, що взагалі не користуються мережею, у 2019 скоротилася з 18 до 15% порівняно з 2018 роком. Найбільше українці використовують мережу інтернет для обміну миттєвими повідомленнями. Частка тих, хто користується такою опцією, зросла з 45% у минулому році до 77% у нинішньому. Користувачі також шукають у мережі потрібну інформацію (71%), користуються соцмережами (61%) та електронною поштою (58%), читають новини (56%). Україна — чудовий приклад країни з конкурентним ринком надання послуг доступу до інтернету. Тут зареєстровано понад 6000 провайдерів із огляду на максимально ліберальні умови ведення бізнесу та незацікавленість держави в надмірній регуляції галузі в 90-х та 2000-х роках. За різними даними, на ринку працюють від 1500 до 3500 провайдерів, проте впродовж останніх років стала помітною тенденція щодо консолідації ринку. Найбільші гравці в наданні послуг фіксованого доступу до мережі — «Укртелеком», «Київстар», «Воля», «Тріолан», «Фрегат», «Датагруп», «Ланет» та інші.7 Більшість послуг мобільного інтернету надають три оператори — Kyivstar, Vodafone Ukraine, Lifecell. Вартість послуг під'єднання до інтернету в Україні залишається невисокою, якщо порівнювати з відповідниками в інших країнах. Абонентська плата за місячний пакет послуг широкосмугового інтернету зі швидкістю 100 Мб/с зазвичай не перевищує 120–150 грн, а деякі провайдери нерідко демпінгують, пропонуючи акційне річне підключення до широкосмугового домашнього інтернету за ціною 75 грн на місяць. Представники провайдерів упродовж 2018–2019 років постійно наголошували на поступовому піднятті тарифів на послуги інтернету задля рентабельності роботи компаній. Іще один важливий показник доступності інтернету — швидкість передачі даних. Відповідно до рейтингу Speedtest Global Index від компанії «Укла» (Ookla), у серпні 2019 Україна за показником доступу до широкосмугового інтернету опинилася на 52 місці серед 122 країн у рейтингу.8
6 https://netfreedom.org.ua/article/internet-staye-osnovnim-dzherelom-informaciyi-dlya-ukrayinciv-rezultatidoslidzhennya 7 https://ukr.lb.ua/economics/2017/11/20/382276_hto_kontrolyuie_ukrainskiy_internet.html 8 https://www.speedtest.net/global-index
9
Це на 10 позицій нижче, ніж було у 2017 році, і хоча швидкість для українських користувачів за останні два роки зросла, розвиток технологій і зростання швидкості інтернету відбувається в усьому світі, а дослідження показало, що показники України розвиваються повільніше від світових. Відповідно, середня швидкість широкосмугового інтернету в Україні станом на 2019 рік становить 42,7 Мб/с під час звантажування (download), та 49,5 Mб/с під час завантаження (upload). Тим часом швидкість мобільного інтернету в Україні за два роки — від 2017 до 2019 — значно зросла, і, за даними Speedtest Global Index, у 2017 році Україна посідала 107 місце, а в 2019 році піднялася на тридцять пунктів і опинилася на 87 сходинці. Середня швидкість українського мобільного інтернету становить 21,26 Мб/с (8,63 — у 2017) під час звантажування (download) та 11,45 Mб/с (2,44 — у 2017) під час завантаження (upload). Запуск операторами мобільного інтернету в форматі технології 3G у 2015 році дав значний поштовх розвитку мобільного інтернету в Україні й зумовив сплеск продажів смартфонів. На початку 2018 року уряд виставив на продаж частоти, на яких можна було розгортати мобільний інтернет у форматі технології 4G, — і наприкінці березня 2018 року оператори «Київстар» (Kyivstar), «Водафон» (Vodafone) та «Лайфселл» (Lifecell) оголосили про початок підключення абонентів до послуги 4G у великих містах України.9 А вже в жовтні 2019 року уряд і оператори підписали меморандум про впровадження послуги 5G у 2020 році. Які сайти найпопулярніші серед мешканців України? Дослідження Kantar TNS CMeter у серпні 2019 року показало, що до п'ятірки найпопулярніших серед українців сайтів належать: google.com, youtube.com, facebook.com, rozetka.com.ua та wikipedia.org.10 Російський «ВКонтакте» опинився тільки на 17 місці з місячною аудиторією 5 мільйонів користувачів. Однак ці дані, ймовірно, занижено, оскільки вони можуть не враховувати користувачів, що обходять блокування через VPN. Відповідно, 5 мільйонів користувачів — це аудиторія, що користується послугами тих провайдерів, які вирішили не блокувати російські сайти з «санкційного списку». Дані про аудиторію інтернету від різних дослідників нерідко відрізняються. Інтернет-Асоціація України замовляє дослідження в компанії Factum Group. Дані цих досліджень показують, що до топ-5 сайтів станом на серпень 2019 року належать такі вебресурси: google.com, youtube.com, facebook.com, ukr.net та instagram.com.11 Російський сервіс VK.com опинився на 6 місці.
9 http://ain.ua/2018/12/26/4g-itogi-2018 10 https://tns-ua.com/news/reyting-populyarnih-saytiv-za-serpen-2019 11 https://inau.ua/news/dani-doslidzhen-internet-audytoriyi-ukrayiny-za-serpen-2019
10
За даними дослідження компанії PlusOne, станом на липень 2019 року Facebook в Україні налічує 13 мільйонів користувачів, тоді як Instagram — 11 мільйонів.12 Дослідники стверджують, що в лютому 2019 адміністрація FB провела масове видалення фейкових акаунтів. Тоді кількість користувачів українського Facebook скоротилася з 13 до 12 млн, а Instagram — із 11 до 10 млн, однак за кілька місяців показники соцмереж знову зросли.
Ілюстрація: агенція PlusOne
Facebook найпопулярніший у Київській (55%), Львівській (39%) та Дніпропетровській (35%) областях. Найнижче проникнення — у Чернігівській та Запорізькій — по 27%. Жінки переважають в українському Facebook — їх частка становить понад 61%, або ж 7,6 млн користувачів. Чоловіків у цій соцмережі в Україні зареєстровано 4,9 млн, або приблизно 39%.
12 https://mmr.ua/show/facebook_ta_instagram_v_ukrayini_vidalili_1_mln_botiv_i_otrimali_stilyki_zh_novih_korist uvachiv
11
2. КЛЮЧОВІ ПИТАННЯ ПРАВОВИХ ВЗАЄМОВІДНОСИН У ІНТЕРНЕТІ: 2.1 СУБ’ЄКТИ ПРАВОВІДНОСИН В ІНТЕРНЕТІ џ
Постановка проблеми
Функціонування суб'єктів правовідносин у інтернеті, встановлення їхніх обов'язків та відповідальності (фактично, визначення правових взаємовідносин) наразі ускладнено недостатнім нормативно-правовим забезпеченням, зокрема: џ
џ
џ
џ
закон про телекомунікації, ухвалений 2003 року, наразі застарів і не відповідає вимогам часу та євроінтеграційним процесам в Україні (на заміну його було подано відповідні законопроекти про електронні комунікації 13 ); невизначеність статусу інтернет-ресурсів,14 що спричинює з одного боку непоширення на новинні інтернет-ресурси стандартів професійної журналістики, відсутність відповідальності в разі поширення недостовірної інформації, — а з іншого, наприклад, не убезпечує їх від цензури, позбавляє співробітників статусу журналіста; не до кінця зрозумілим залишається і юридичний статус самих користувачів мережі, їхніх прав та відповідальності під час користування мережею. Цей статус здебільшого зазнає тиску двох протилежних трендів: повної деанонімізації користувачів із подальшим поширенням на них правил, аналогічних оффлайну (переважно підхід урядових структур) та повна анонімність користувачів і відсутність будьякого регулювання чи втручання держави (радикально-правозахисний підхід); брак чіткого розуміння самих меж втручання різних суб'єктів (і державних, і недержавних) у принципи функціонування мережі та кіберпростору й наявності стримувачів для такого втручання.15
13 http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=57401 https://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=66311 14 За виключенням інтернет-сайтів офлайнових видань, функціонування яких передбачено Ст. 1 Закону «Про друковані засоби масової інформації (пресу) в Україні»: «друковані видання “можуть включати до свого складу інші носії інформації (платівки, дискети, магнітофонні та відеокасети тощо), розповсюдження яких не заборонено чинним законодавством України”». Розширене тлумачення цієї статті дозволяє віднести до інших носіїв інформації також інтернет. 15 https://ms.detector.media/web/online_media/obmezhennya_prav_v_interneti_riziki_dlya_ukraini/
12
џ
Стисла історія питання
За поширеним у міжнародній практиці підходом, що його запропонував Й. Бенклер (Yochai Benkler), управління мережею інтернет має бути розділено на сфери впливу; ключові серед них технічна, інфраструктурна та змістова.16 Суб'єктів правовідносин у інтернеті можна розділити умовно на дві великі групи: 1) ті, що визначають межі таких правовідносин;17 2) ті, що вступають у такі правовідносини. До першої групи належать: 1.1) міжнародні організації, що џ
џ
встановлюють загальні правила взаємодії, наприклад: Форум управління інтернетом (Internet Governance Forum, скор. IGF), Інтернет Суспільство (Internet Society, скор. ISOC); визначають технічні параметри взаємодії, як-то: Всесвітня корпорація з призначення доменних імен та номерів (Internet Corporation for Assigned Names and Numbers, скор. ICANN), яка формує правила використання адресного простору інтернет-протоколу та системи доменних імен; Робоча група з інтернет-інжинірингу (Internet Engineering Task Force, скор. IETF) — забезпечує технічне обґрунтування і стандартизацію основних протоколів;
1.2) національні органи, що задіяні у процесах регулювання правовідносин у інтернеті: џ џ џ џ
передусім це законодавчий орган — Верховна Рада України; профільний центральний орган виконавчої влади, наразі це Міністерство цифрової трансформації України; регулятор — НКРЗІ; недержавна організація, яка займається адмініструванням адресного простору в мережі інтернет у домені «UA».
Друга група охоплює таке коло суб'єктів і відповідні підгрупи: 2.1) оператори та провайдери телекомунікацій, які забезпечують функціонування мережі інтернет як інформаційної системи. Вони здебільшого надають такі види інформаційних послуг: підключення
16 http://www.benkler.org/Benkler_Wealth_Of_Networks.pdf 17 Користуючись своїми інтернет-ресурсами, ця група суб'єктів також набуває ознак другої групи, проте для нашого аналізу це не суттєво.
13
(забезпечення доступу до мережі); адміністрування (забезпечення функціонування технічних засобів підтримки адресного простору інтернет); хостинг (розміщення інформаційних ресурсів замовника на вебсерверах і забезпечення доступу до цих ресурсів); послуги з навігації в мережі (створення веб-порталів, що полегшують пошук і доступ до інформаційних ресурсів мережі). 2.2) виробники, власники і розповсюджувачі інформації та інформаційних ресурсів, які створюють інформаційне наповнення мережі інтернет. Вони передусім створюють електронні інформаційні ресурси, володіють правами на них, забезпечують функціонування цих ресурсів і задовольняють інформаційні потреби користувачів. 2.3) суб'єкти, які надають специфічні послуги з укладання електронних (мережевих) угод (договорів) за допомогою мережі інтернет, тобто все те, що охоплюється терміном «електронна комерція (торгівля)» (інтернетмагазини, інтернет-казино, інтернет-аукціони тощо); 2.4) споживачі (користувачі) телекомунікаційних послуг. Це фізичні та юридичні особи, які потребують, замовляють, отримують ці послуги. Незважаючи на різноманіття суб'єктів правовідносин у інтернеті та широке коло проблем, пов'язаних із їхнім функціонуванням, дискусія представників урядового й неурядового секторів зосередилася довкола двох питань: џ џ
регулювання онлайн-медіа; зобов'язань провайдерів щодо збереження комп'ютерних даних.
Говорячи про регулювання онлайн-медіа, учасники дискусій активно зверталися до міжнародного досвіду. Наводили приклад Білорусі, де ухвалено закон про засоби масової інформації, який було оновлено в частині надання можливостей добровільної реєстрації онлайн-ЗМІ. Відтак інтернет-ресурси отримують низку стимулів, зокрема щодо офіційної акредитації. Ще один приклад — Німеччина, де немає реєстрації ЗМІ, а є реєстрація суб'єктів бізнесу. Водночас існує регулювання аудіовізуального контенту, зокрема відеоблогів, що його забезпечує аналог нашої Національної ради з питань телебачення і радіомовлення. У обговоренні обов'язків провайдерів щодо збереження комп'ютерних даних представники органів влади зауважили, що Законом про телекомунікації передбачено зберігання провайдерами даних про з'єднання три роки. Але зберігається не те, що передбачено Конвенцією про кіберзлочинність (дані про трафік), а те, що вказано у квитанції — інформація про надані послуги: скільки хвилин, секунд було тарифіковано. Зняття інформації з мереж, що передбачено КПК, практично не працює: більшість злочинів не є тяжкими, це автоматично забороняє знімати інформацію з електронних систем відповідно до процесуального закону. Наприклад, у ситуації, коли вчиняються дії щодо системи, неможливо зняти процесуальну інформацію з цієї системи, оскільки за статтею це не тяжкий злочин. 14
У нас не імплементовано в повному обсязі ці норми з Конвенції про кіберзлочинність, зокрема немає визначення, що таке цифрові докази, не імплементовано й норми щодо збереження комп'ютерних даних. На занепокоєння представників недержавного сектору, чи збереження таких даних може порушити права людини, відповідь була однозначна: «Не може. Зміст розмов не розкривається. Це не перехоплення. Це технічні дані про з'єднання». џ
Напрями розвитку
У врегулюванні статусу інтернет-ресурсів, що поширюють новини, доцільно враховувати Рекомендацію Ради Європи CM / Rec (2011) 7 «Про нове поняття ЗМІ», де стверджується необхідність «прийняти нове широке визначення медіа, яке охоплюватиме всіх дійових осіб, залучених у виробництво та поширення на потенційно велику кількість громадян контенту (наприклад, інформація, аналіз, коментар, думка, освіта, культура, мистецтво та розваги в текстовій, аудіо, візуальній, аудіовізуальній чи іншій формі), та прикладні програми, які створюються з метою сприяти інтерактивним засобам масової інформації (наприклад, соціальним мережам) або іншим масштабним інтерактивним видам діяльності на основі контенту (наприклад, онлайновим іграм), зберігаючи водночас (в усіх таких випадках) редакційний контроль або нагляд за контентами».18 18 http://sumynews.com/decentralizationreform/3151/rekomendacziyi-komitetu-ministriv-rady-evropy20117-shhodo-novogo-vyznachennya-media.html
15
2.2 УПРАВЛІННЯ ІНТЕРНЕТОМ џ
Постановка проблеми
Україна — частина загальносвітової мережі. Стрімкий розвиток мережі та її екстериторіальність породжують спроби держав відреагувати на це явище і пов'язати його з класичними парадигмами суверенітету. У найбільш радикальній формі це призводить до спроб повного контролю за контентом та інфраструктурою мережі в межах кожної конкретної держави, як це відбувається в Китаї чи Росії. Другий полюс — абсолютна свобода мережі, яка де-факто визнається окремим простором із власними правилами. Україна в таких умовах має віднайти власний стратегічний підхід до питання управління інтернетом, що забезпечував би збалансоване дотримання інтересів усіх зацікавлених стейкхолдерів. џ
Загальний контекст проблеми
Із розвитком інформаційного або ж постіндустріального суспільства суспільні відносини дедалі більше базуються на обміні інформацією. Швидкий розвиток на зламі тисячоліть мережі інтернет як децентралізованої системи порушив і питання правового регулювання мережі, а це викликало заперечення в усіх, хто асоціював інтернет із простором, вільним від будь-яких втручань чи регуляцій. Однак всесвітня мережа стала радше простором для вільного обміну інформацією — тут з'явилися платні послуги, технічні гіганти (Facebook, Google) побудували свої бізнес-моделі на основі збору й використання персональних даних користувачів, а недемократичні режими можуть використовувати можливості інтернету як зброю проти демократії. Cеред фахівців у сфері інформаційних технологій, урядовців і громадського сектору усталився термін «управління інтернетом» (англ. — internet governance). Під «управлінням інтернетом» розуміють набір загальних принципів, норм і правил, які регулюють еволюцію та використання інтернету й допомагають урядам, бізнесу та громадянському суспільству домовлятися між собою у питаннях, із цим пов'язаних. Водночас маємо розуміти, що «лібералізацію» управління інтернетом може бути забезпечено лише в досить умовних межах. Перш за все тому, що «управляти інтернетом» у прямому розумінні слова «управляти» неможливо: це розподілена система, яка не передбачає централізованого управління. Водночас «управління інтернетом» — предмет «великої політики», що й зумовило винесення цього питання на порядок денний обговорень ключових світових держав. Уперше це питання постало на міжнародному рівні після двох раундів Всесвітнього саміту інформаційного суспільства (WSIS), який відбувся в Женеві 2003 року і в Тунісі 2005 року. Підсумковий документ Саміту — «Програму для інформаційного суспільства» — було ухвалено в Тунісі.
16
У програмі детально розглянуто проблему управління інтернетом, запропоновано визначення цього поняття, подано перелік проблемних сфер, а також заявлено про рішення започаткувати Форум з управління інтернетом (Internet Governance Forum, IGF) під егідою ООН із метою створити платформу для реалізації рішень WSIS. Перше засідання Форуму відбулось в 2006 році, а з 2010 року функціонує й Український Форум з управління інтернетом. У своїй Заяві про управління інтернетом (2009 р.) Європейська комісія пов'язала безпеку і стабільність глобальної мережі інтернет із повагою до прав людини, зокрема на свободу висловлення поглядів, недоторканність приватного життя, захист персональних даних і культурне й мовне розмаїття. Одне із ключових питань, яке все ще залишається предметом дискусії, — який концептуальний підхід має бути використано у створенні моделі управління інтернетом. Хоча вперше це питання було порушено у 2006 році, воно набуло особливої гостроти під час Всесвітньої конференції міжнародного електрозв'язку (ВКМЕ12), яку було присвячено важливим для галузі зв'язку питанням розвитку телекомунікацій і, зокрема, перегляду чинного Регламенту міжнародного електрозв'язку. У 2013 році під час Всесвітнього форуму з політики електрозв'язку «мультистейкхолдеризм» як діалог між зацікавленими сторонами було фактично проголошено базовим підходом до управління інтернетом, на який мають спиратися держави. Зокрема було сформульовано вимогу до державчленів «вивчати шляхи та засоби зміцнення співробітництва й координації між урядами, приватним сектором, міжнародними та міжурядовими організаціями і громадянським суспільством, а також розширення участі у багатосторонніх процесах із метою забезпечити, щоб управління інтернетом було процесом за участі багатьох зацікавлених сторін, який дає можливість усім сторонам продовжувати з вигодою використовувати інтернет». У 2016 році з метою належної реалізації прав людини в мережі інтернет Комітет Міністрів Ради Європи ухвалив рекомендацію щодо інтернет-свободи, визнаючи ризики, пов'язані з регулюванням доступу в мережу інтернет та можливостями провайдерів сервісів. Як зазначено в Рекомендації Rec (2016) 5, механізми управління інтернетом на національному, регіональному чи глобальному рівні мають ґрунтуватися на розумінні інтернет-свободи. Держави мають права й обов'язки щодо міжнародної політики, пов'язаної з інтернетом. У реалізації своїх суверенних прав держави повинні, відповідно до норм міжнародного права, утримуватися від будь-яких дій, які можуть прямо або побічно завдати шкоди фізичним чи юридичним особам у межах чи поза межами їхньої юрисдикції. Будь-яке національне рішення або дія на обмеження прав людини та основних прав у інтернеті повинні відповідати міжнародним зобов'язанням і, зокрема, базуватися на законі. Дотримання повною мірою
17
принципів пропорційності та гарантування доступу до засобів правового захисту, а також право бути почутим і право звертатися по забезпечення належних гарантій процесу, — важливі в демократичному суспільстві. В Україні це питання наразі не менш актуальне. У нашій країні ще не впроваджено загальнодержавну стратегію управління інтернетом. А відтак державна політика не реалізовує жодної програми, яка могла би, принаймні поступово, вирішувати проблему управління інтернетом в Україні. Відсутність такої стратегії говорить насамперед про те, що досі не визначено позицію щодо органу державної влади, який відповідає за розробку та впровадження єдиної державної політики у сфері управління інтернетом, а відтак залишаються невизначеними «межі» (організаційно-технологічні та ідеологічні), у яких би здійснювалося управління інтернетом на державному рівні, гравці (стейкхолдери), які були би відповідальними та мали певні права в реалізації управління інтернетом. Імовірно, таким органом стане Міністерство цифрової трансформації. Такий стан речей зумовлено насамперед тим, що в державі не сформовано політичне бачення цієї проблеми. Україна й досі не визначилася, прихильницею якого типу управління інтернетом вона є. Неурядовий сектор (силами якого переважно проводиться IGF-UA) здебільшого відштовхується від мультистейкхолдерістського підходу й політики ICANN, а саме: невтручання держави в управління інтернетом (або її мінімальна партнерська участь). џ
Погляди на проблему представників урядового та неурядового секторів
Важливим питанням і для громадськості, і для державного сектору залишається точність формулювань, пов'язаних із управлінням інтернетом, що є основою будь-яких ефективних правових взаємовідносин. Представники недержавного сектору наголошують, що є «дуже багато пропозицій щодо вдосконалення перекладу [терміну]. Коли я чую “регулювання інтернету”, “контроль над інтернетом”, — то це приклади Китаю, Росії та інших країн, які намагаються цензурувати. А “врядування” чи “управлінням інтернетом” — це вироблення спільних правил, політик, підходів, рішень, — будь-чого, щоб інтернет працював». Крім того, «Internet governance вимірюється у різних площинах: правовій, етичній, технічній, економічній. Доступність інтернету — благо для суспільства. Але потрібна згода між усіма гравцями щодо того, якими мають бути стандарти, наслідки використання інтернету. Держава, бізнес і суспільство мають домовитися про ці стандарти». Варто визнати, що державні органи (особливо сектор безпеки й оборони) кажучи про Internet governance справді здебільшого мислять категоріями «регулювання», а не «управління» (водночас наголошуючи, що в Україні немає законодавства, яке б «регулювало інтернет»).
18
Про це ж кажуть і представники неурядового сектору: «Держава для себе не розуміє дискурсу. Вона хоче займатися питаннями кібербезпеки. Треба розуміти, що є інформаційна безпека, а є технічна безпека. Державу десь і можна зрозуміти — їм треба захищати кіберпростір. І треба визначити, що саме вони повинні захищати. А інше питання — це те інформаційне середовище, у якому перебуває решта суспільства. Не треба все рівняти під одним меседжем. Треба розрізнити питання технічного захисту і питання інформаційної безпеки». Ще одна складова цієї проблеми — відсутність адекватного визначення самого поняття інтернету: «У нас є формулювання “мережа інтернет”. Є три версії різних законів про електронні комунікації, і жодна не відповідає європейському законодавству. Ми брали на себе зобов'язання в Угоді про асоціацію з ЄС за три роки привести своє законодавство у цій сфері до повної відповідності європейському. А це говорить про те, що ми маємо виконати мінімум три директиви — про авторські права, директиву в сфері кіберу й директиву в сфері електронних комунікацій», — наголошують експерти з недержавного сектору. Інше питання — сам мультистейкхолдеризм. Слід визнати, що для урядовців це питання має здебільшого теоретичне значення, адже вони виходять із вимог законодавства та ступеню реального впливу держави на управління інфраструктурною складовою: «Інтернет — це складна екосистема. І, з одного боку, держава формує правове поле, а з іншого боку — є такий регулятор, як бізнес… У руках держави зосереджено управління мережевими комунікаціями». Коли постає питання про те, які закони регламентують в Україні питання управління інтернетом, урядовці говорять про загальні нормативно-правові документи (на кшталт Закону України «Про інформацію» або «Про телекомунікації») або про специфічні документи, які регламентують питання безпеки та покарання (Закони України «Про основні засади забезпечення кібербезпеки України» чи Цивільний кодекс). Для урядових структур питання управління інтернетом — це не стільки партнерський процес, скільки долучення неурядового сектору до формування правил, які має визначати держава: «Треба запрошувати бізнес, громадські організації до обговорення таких законопроектів, як, наприклад, проект закону про цифрові права, проект постанови про розвиток широкосмугового доступу». Тим часом для неурядового сектору це питання саме ефективного партнерства із залученням широкого кола учасників (але за реальної та інтенсивної участі держави). Із іншого боку, саме представники держави вказують на проблеми, які виникають у використанні інтернет-ресурсів унаслідок ухвалення недосконалих законів: «Закон про мову. І там є вимоги до інтернет-сайтів у тому числі. Вони мають завантажуватися спочатку українською мовою. У законі передбачено покарання за порушення. Проблема у тому, що є українські сайти, які перебувають у доменній зоні .ua, а кінцевий споживач —
19
закордонний клієнт, який заходитиме й бачитиме україномовний інтерфейс замість звичного, скажімо, англомовного». Тому недержавні стейкхолдери наполягають, що Україні в цьому питанні потрібне не так ухвалення нових законів, як аналіз чинних і заходи, які би змусили їх правильно працювати: «у нас і так багато законів — давайте не плодити нові сутності, а розберемося з тим, що є». У цьому сенсі показовим є питання участі держави в IGF-UA (а також у IGF загалом) як основному форумі з питань управління інтернетом. Він переважно залишається заходом для бізнесу та неурядових організацій: «Хто чув про IGF? Хто був на цих подіях? Там домінує технічна спільнота, більше громадянського суспільства, а держава недопредставлена», — кажуть представники громадськості. Проте саме цей захід має стати реальним інструментом вирішення питань управління інтернетом у широкому форматі. Наразі участь держави в цьому форматі викликає в неурядових стейкхолдерів мало ентузіазму: «Участь [держави] скоріше формальна. Завжди було дуже важко туди заманити представників держорганів. Вони не розуміли й не розуміють. Я майже не знаю нормальної участі України в міжнародних органах. Свого часу було розуміння у держави. Вони організовували українські офіціальні делегації з урядовців / бізнесу / громадянського суспільства, і ми їхали як єдина делегація. А після 2008 все це припинилося. Зараз не організовуються правильно ці делегації, щоб був цей мультистейкхолдеризм. Я можу зареєструватися на будь-який форум самостійно. Але нема центру в Україні, хто б цим правильно займався… У 2016 році на форум [IGF-UA] держоргани взагалі не прийшли». Багато в чому це наслідок відсутності чітко визначеної урядової інституції, яка б опікувалась цим питанням офіційно: «На сьогодні функції, пов'язані з телекомунікаціями, розпорошені по кількох відомствах. У нас нема єдиного органу, який би формував політику в цих сферах. Що таке Держагенство [з питань електронного урядування]? У них нема голосу і вони не можуть прийти на Кабмін, якщо їх не покличуть. І органу центральної виконавчої влади, який би об'єднав ці функції». Анонімність — іще одне питання, щодо якого немає стратегічного консенсусу. Представники органів влади вказують на необхідності ідентифікувати користувачів та абонентів: «Я почав би з анонімності користувачів або абонентів. Що нам каже світовий досвід — спробуйте в Японії посидіти в інтернеті без паспорта. У вас не вийде. Має бути ідентифікація кожного, хто заходить у мережу. Це нормальна європейська практика». Для державних структур (особливо безпекового характеру) деанонімізація — частина впорядкування умовного хаосу мережі, створення зрозумілого простору дій і перенесення правил оффлайну в онлайн. Відтак державні структури майже завжди й майже у будь-якій країні були й будуть орієнтовані на зменшення анонімності користувачів. З іншого боку, для громадянського суспільства право на анонімність — один із маркерів вільного інтернету, і спроби обмежити це право здатні викликати значний спротив. Це те питання, щодо якого Україна ще має провести широке професійне обговорення.
20
Водночас є консенсус сторін у питанні освіти та просвітництва, без чого ефективного функціонування інтернету бути не може. Цікаво, що особливо наголошують на цьому представники владних структур: «У нас не проблема з проникненням інтернету, у нас проблема в тому, що треба навчити людей користуватися інтернетом. Є проблема, що в тих же селах немає інтернету не тому, що немає провайдера. Провайдер приходить, каже — підключайтеся, а їм це просто не потрібно. Потрібна державна програма. Ми ніколи не прийдемо до цифрової економіки, якщо суспільство не буде розуміти, що це таке і як цим користуватися. Немає проблем із приходом і проникненням провайдерів. У нас є проблема з користувачами. Я вважаю, що треба формувати попит. Якщо ту ж бабусю не навчити, то вона точно не буде користуватися реєстрами і т. д. Поляки поставили на населення 50+, а не 70+. А ми взагалі маємо ставити на 40+». џ
Напрями розвитку
Питання «управління інтернетом» має стати в Україні не предметом постійних дискусій, а чітким вектором спільного руху держави та всіх зацікавлених стейкхолдерів. Частково ці плани реалізує новий уряд за президентства Володимира Зеленського. Проте це питання ще буде потребувати чіткої нормативно-правової та інституційної підтримки, передусім: џ
џ
џ
џ
џ
здійснення необхідних заходів, спрямованих на закріплення в законодавстві ключових понять сфери «управління інтернетом», і передусім найбазовішого поняття «інтернет», яке б узгоджувалося з відповідниками законодавства ЄС (завершення реформування законодавства у галузі телекомунікацій у відповідності до взятих на себе зобов'язань у межах Угоди про асоціацію); визначення державного органу (на рівні профільного ЦОВВ), до компетенції якого будуть належати питання управління інтернетом та взаємодії зі стейкхолдерами з цього питання; закріплення таким ЦОВВ основ державної політики щодо управління інтернетом у офіційному урядовому документі або як складової ширшої політики розбудови інформаційного суспільства в Україні. Закріпити в офіційному документі базову модель «управління інтернетом» як мультистейкхолдеристську; створення законодавчих та інституційних умов для повноцінної реалізації партнерського підходу в ухваленні рішень щодо «управління інтернетом» на всіх рівнях державного управління та суспільного життя; ініціювати у суспільстві широку дискусію щодо шляхів реформування адміністративної структури державного управління у сфері електронних комунікацій, складовими якої мають стати кроки на забезпечення фінансової незалежності регулятора, впровадження санкцій за порушення з метою захисту прав споживача, формування системних заходів інформаційної безпеки, забезпечення принципу технологічної нейтральності;
21
џ
џ
анонімність у мережі залишається конфліктним питанням, яке ускладнює досягнення консенсусу між державою та недержавним сектором. Воно буде потребувати більш інтенсивного професійного діалогу з метою пошуку компромісу між особистими свободами громадян та вимогами безпеки суспільства в цілому; освітня компонента в сфері відповідального користування інтернетом — базова складова, до якого має бути залучено всіх стейкхолдерів. Це буде потребувати якісної нормативно-правової підтримки з боку парламенту, інституційно-організаційної підтримки з боку уряду та активного включення громадськості й бізнесу в практичні заходи.
2.3 ЦИФРОВІ ПРАВА:ЗАГАЛЬНІ ПІДХОДИ џ
Постановка проблеми
Права людини — категорія, що визначає правові взаємовідносин між індивідом, суспільством і державою. Із появою інтернету з'являється новий простір реалізації прав людини, а відтак і дискусія про особливості прав у онлайн-просторі, або ж, як їх нерідко називають, «цифрових прав». Регулювання цифрових прав — досить нове явище, і система відповідних міжнародних норм наразі перебуває на етапі становлення, що позначається / має позначатися і на національному законодавстві.
22
Експерти наголошують, що в Україні бракує системного підходу держави до питання «цифрових прав» (визначення, комплексні механізми, процедури і правила). Ще одна проблема полягає в тому, що відповідні законодавчі ініціативи зазнавали критики і з боку громадянського суспільства, і з боку міжнародних організацій.19 Наразі правозахисники констатують в Україні такі порушення цифрових прав громадян загального характеру:20 џ џ
џ
доступність інтернету / якість послуг провайдера нерівномірні по країні;21 обмеження в доступі до інтернет-ресурсів та обмеження контенту, яке відбувається через механізм санкцій проти відповідних юридичних осіб («Одноклассники», ВАТ «Мейл.РУ Украина», ВАТ «ВКонтакте», ВАТ «Яндекс» та ін.). Експерти наголошують на проблемі позасудового вирішення блокування; обмеження цифрових прав людини через нав'язування їй непотрібних цифрових послуг, наприклад спаму, що суперечить нормам Будапештської конвенції про кіберзлочинність і Закону України «Про захист прав споживачів»;22
19 Як в Україні регулюються Інтернет та цифрові права користувачів? Аналіз законодавства / Бурмагін Олександр // https://netfreedom.org.ua/jak-v-ukraini-regulujtsia-internet-ta-tsyfrovi-prava-korystuvachiv 20 Фахівці розмежовують такі дві групи прав: цифрові права загального характеру, порушення, які мають вплив на необмежене коло осіб; цифрові права індивідуального характеру, порушення, які стосуються окремих осіб і не мають безпосереднього впливу на широку аудиторію. // https://www.ppl.org.ua/wp-content/uploads/2019/06/%D0%97%D0%B2%D1%96%D1%82%D1%82%D1%80%D0%B0%D0%B2%D0%B5%D0%BD%D1%8C-2019%D1%80%D0%BE%D0%BA%D1%83.pdf 21 Експерти зазначають, що в Україні досить доступні ціни на інтернет, а кількість українців, які мають доступ до інтернету, та швидкість поширення доступу зростають. Але водночас досі існує різниця в інтернет-покритті в містах і селищах, а смартфонами користується тільки 35 % населення // https://zmina.info/articles/obmezhennjia_prav_v_interneti_riziki_dljia_ukrajini/ 22 Згідно з Будапештською конвенцією про кіберзлочинність, інтернет-користувачі повинні бути захищені від втручання в комп'ютерні дані, зокрема від використання шкідливих кодів (наприклад, вірусів і троянських програм) та надсилання великих обсягів електронних листів отримувачу з метою блокування комунікаційних функцій системи, тобто спаму. Крім того, п. 1 ст. 19 Закону України «Про захист прав споживачів» забороняє нечесну підприємницьку практику. Такою діяльністю, зокрема, вважається діяльність, яка вводить споживача в оману або є агресивною (містить елементи примусу, докучання, впливає або може вплинути на свободу вибору або поведінку споживача щодо придбання продукції). Крім того, відповідно до ч. 5 ст. 19 цього Закону як агресивні заборонено такі форми підприємницької практики, як постійне надсилання телефонних, факсимільних, електронних або інших повідомлень без згоди споживача. Тобто, зокрема, смс-спам. // https://rpr.org.ua/news/5-vypadkiv-koly-vy-ne-zdohaduvalysya-scho-vashi-tsyfrovi-prava-porushuyutsya/
23
џ
порушення права громадян на інформацію, а надто в мережі інтернет, через поширення окремих фейків і проведення цілісних кампаній з дезінформації. Незважаючи на те, що право на достовірну інформацію поки що не стало частиною міжнародних угод, обов'язкових до виконання, ще 2012 року було ухвалено Резолюцію Комітету з прав людини ООН щодо «Права на правду» (Right to the truth 23 ). Фахівці прогнозують у майбутньому його включення до каталогу прав людини і пропонують його формулювати так: «право не бути введеним в оману» («the right not to be misled»).24
З-поміж порушень індивідуальних цифрових прав зафіксовано: злам індивідуальних сторінок; збір і поширення конфіденційної інформації про абонентів оператором мобільного зв'язку; надання надмірного й непропорційного доступу до інформації про споживача послуг із доступу до інтернету на підставі рішення суду; загроза витоку персональних даних і втрати коштів через фейкову рекламу банку, яка пропонує пройти опитування, під час якого збирає інформацію, тощо.25 џ
Стисла історія питання
Єдиний нормативно-правовий актом України, де згадуються цифрові права, — це План заходів щодо реалізації Концепції розвитку цифрової економіки та суспільства України на 2018–2020 роки, 26 яким передбачено розроблення переліку таких прав відповідно до зобов'язань України у сфері європейської інтеграції та інших міжнародних зобов'язань, що випливають із участі України в діяльності міжнародних організацій, членом яких є Україна, та подання пропозицій щодо їх упровадження. Міжнародні зобов'язання України у сфері прав людини — це передусім зобов'язання, що випливають із членства в Організації Об'єднаних Націй і Раді Європи. Усі належним чином ратифіковані міжнародні договори — частина внутрішнього права відповідно до Ст. 9 Конституції України.
23 https://www.ohchr.org/EN/Issues/Truth/Documents/A_HRC_21_7.pdf 24 https://medium.com/swlh/do-we-need-new-human-rights-in-the-era-of-fake-information-db092c96b961 25 https://www.ppl.org.ua/monitoring/monitoring-cifrovix-prav 26 Про схвалення Концепції розвитку цифрової економіки та суспільства України на 2018–2020 роки та затвердження плану заходів щодо її реалізації : Розпорядження Кабінету Міністрів України від 17 січня 2018 р. № 67-р // https://www.kmu.gov.ua/ua/npas/pro-shvalennya-koncepciyi-rozvitku-cifrovoyiekonomiki-ta-suspilstva-ukrayini-na-20182020-roki-ta-zatverdzhennya-planu-zahodiv-shodo-yiyi-realizaciyi
24
У 2012 році Радою ООН з прав людини 27(The United Nations Human Rights Council, UNHRC) було ухвалено резолюцію «Заохочення, захист та реалізації прав людини в інтернеті», що проголошує: усі оффлайн-права людини рівною мірою мають дотримуватися онлайн. Практика діяльності ООН та її структур передбачає механізм перегляду / оновлення резолюцій. У 2014, 2016 та 2018 роках Резолюцію про права людини в інтернеті було переглянуто й доповнено, у кількісному вимірі — з 5 до 15 пунктів.28 Версія резолюції 2018 року вперше визнає, зокрема, що міжнародне право в галузі прав людини повинно бути основою політики та умов надання послуг технологічних компаній. Цей останній пункт особливо важливий у світлі дискусій про роль соціальних мереж у регулюванні онлайнконтенту. «Право на приватність у цифрову епоху» стало ще однією важливою резолюцією ООН, ухваленою Генеральною Асамблеєю 18 грудня 2013 року. У документі наголошено на глобальній і відкритій природі інтернету та швидкому розвитку в царині інформаційних і комунікаційних технологій як рушієві прискорення прогресу на шляху до розвитку в різних формах.29 Остання версія резолюції, ухвалена 2017 року, знову підтвердила, що «ті самі права, які мають люди оффлайн, мають також бути захищені й у онлайновому середовищі, включно з правом на приватність».30 Позицію Ради Європи щодо цифрових прав закріплено низкою документів. Єдиним визнаним міжнародним договором про захист свободи, безпеки та прав людини в мережі інтернет 31 залишається Будапештська Конвенція про злочинність у кіберпросторі, яку Рада Європи розробила в 2001 році.32
27 Рада з прав людини Організації Об'єднаних Націй (РПЛ ООН) — один із найважливіших міжнародних форумів для правозахисників. На своїх сесіях Рада ООН з прав людини ухвалила резолюції з широкого кола питань щодо прав людини. Хоча ці резолюції не є обов'язковими для держав так, як, наприклад, договори, але вони стають важливим джерелом міжнародних стандартів у галузі прав людини як форма «м'якого права». Як багатосторонній форум, РПЛ ООН наділена широким мандатом надавати Генеральній Асамблеї рекомендацій з метою подальшого розвитку міжнародного права в галузі прав людини. // https://www.gp-digital.org/wpcontent/uploads/2017/12/NavigatingtheHRC.pdf 28 The promotion, protection and enjoyment of human rights on the Internet // http://digitallibrary.un.org/record/845728/files/A_HRC_32_L-20-EN.pdf Поощрение, защита и осуществление прав человека в Интернете // http://digitallibrary.un.org/record/845728/files/A_HRC_32_L-20-RU.pdf 29 The right to privacy in the digital age // https://www.ohchr.org/en/issues/digitalage/pages/digitalageindex.aspx 30 Предложения и комментарии // https://www.ohchr.org/Documents/Issues/DigitalAge/ReportPrivacyinDigitalAge/INCLO.pdf 31 Європейські вимоги щодо захисту персональних даних у сфері електронної комерції / Олексій Мервінський // http://pnzzi.kpi.ua/30/30_p34.pdf 32 Будапештська конвенція про злочинність в кіберпросторі // http://zakon0.rada.gov.ua/laws/show/994_575
25
Конвенція — зобов'язальний міжнародно-правовий документ, який вимагає від сторін модернізувати й гармонізувати своє кримінальне законодавство проти дій хакерів та інших порушень безпеки, включно з порушенням авторських прав, шахрайством за допомогою комп'ютера, дитячою порнографією та іншою протиправною кібердіяльністю.33 У 2005 році було ухвалено «Декларацію прав людини і правових норм в інформаційному суспільстві»,34 яка стала першою спробою визначити правові рамки в цій сфері. Розділ «Права людини в інформаційному суспільстві» Декларації містить 8 пунктів: право на свободу вираження, інформації та комунікацій; право на повагу до приватного життя і таємниці листування; право на освіту й загальний доступ до інформаційних технологій; заборона рабства і примусової праці; право на неупереджений суд і заборона на позасудове переслідування; захист власності; право на вільні вибори; свобода зібрань. Отже, із цього переліку видно, що переважно йдеться про права, які вважалися базовими і до становлення інформаційного суспільства.35 У 2012 році Комітет міністрів Ради Європи створив Комітет експертів із прав інтернет-користувачів (MSI-DUI), завданням якого стало «не створення нових прав людини, а дослідження можливості застосування вже наявних прав до царини інтернету».36 У 2013 році було ухвалено Політичну декларацію «Свобода слова та демократія у цифрову епоху: можливості, права, відповідальність»; 37 у ній, зокрема, стверджується: «Доступ до інтернету нерозривно пов'язаний із правами людини, зокрема зі здійсненням права на свободу висловлювання поглядів. Ми визнаємо принципове значення того, щоб люди мали можливість висловлювати свою думку та отримувати доступ до інформації в інтернеті без зайвих обмежень, що дозволяє їм ефективно користуватися своїми правами відповідно до Cтатті 10 Європейської конвенції з прав людини».
33 Посібник з європейського права у сфері захисту персональних даних // https://rm.coe.int/16805966a8 34 Declaration on Human Rights and the Rule of Law in the Information Society // https://www.coe.int/t/dgap/goodgovernance/Activities/Public_participation_internet_governance/Declaratio n-Information-Society/011_DeclarationFinal%20text_en.asp 35 Золотар О. О. Права і свободи людини: інформаційний вимір // ІТ право: проблеми і перспективи розвитку в Україні: збірник матеріалів науково-практичної конференції. Львів : НУ «Львівська політехніка», 2016. С. 59–69 // http://www.lp.edu.ua/sites/default/files/news/2016/3900/attachments/maket_it_konfer.pdf 36 Recommendation CM/Rec(2014)6 of the Committee of Ministers to member States on a guide to human rights for Internet users – Explanatory Memorandum // https://rm.coe.int/16804d5b31 37 Political Declaration And Resolutions // https://rm.coe.int/1680484e65
26
У 2013 році Рада Європи ухвалила й резолюцію «Свобода інтернету»:38 «Доступ до інтернету — ключовий інструмент, що дає змогу людям ефективно шукати, отримувати та поширювати ідеї та думки. Втручання в доступ може негативно вплинути на участь у демократичних процесах, а також на поширення інформації та її виcловлення в інтересах суспільства. Будь-яке втручання має відповідати вимогам пункту 2 Статті 10 Європейської конвенції з прав людини». Таким чином, європейська спільнота визнала доступ до мережі інтернет базовим правом людини. У 2014 році Комітет міністрів Ради Європи ухвалює Рекомендацію CM / Rec (2014) 6 щодо «Посібника з прав людини для інтернет-користувачів» 39 і зазначає, що всі держави-члени Ради (до яких належить і Україна) зобов'язані забезпечити права людини та основні свободи, закріплені в документах, які вони ратифікували. Це зобов'язання також діє в контексті використання інтернету. Ніхто не повинен бути об'єктом незаконного втручання під час реалізації своїх прав і свобод під час роботи в інтернеті. Посібник став одним із ключових міжнародних документів, що систематизують базові права та обмеження в інтернеті. У 2018 році українські медійні громадські організації ініціювали підписання Декларації вільного інтернету 40 як адвокаційного інструменту для просування цифрових прав і вільного розвитку інтернету в Україні. Декларація, зокрема, визначає «право кожного на доступ до інтернету» і розглядає мережу як «один із ключових засобів реалізації права кожного на свободу отримання й поширення інформації та вільне вираження поглядів». џ
Погляди на проблему представників урядового та неурядового секторів
У погляді на цифрові права розподіл позицій відбувся не за належністю експертів до урядового чи неурядового секторів, а за ставленням до таких прав.
38 Political Declaration And Resolutions // https://rm.coe.int/1680484e65 39 Recommendation CM/Rec(2014)6 of the Committee of Ministers to member States on a Guide to human rights for Internet users // https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680 4d5b31 Рекомендація CM/Rec(2014)6 Комітету міністрів Ради Європи державам-членам щодо використання Посібника з прав людини для інтернет-користувачів // https://rm.coe.int/16802e3e96 40 В Україні ініціювали Декларацію вільного інтернету // https://netfreedom.org.ua/article/v-ukrayiniiniciyuvali-deklaraciyu-vilnogo-internetu
27
Перша позиція полягала у тому, що різниці між цифровими та оффлайнправами не існує: «Ми говоримо про те, що права людини, які в неї були завжди, просто отримали новий вимір їх реалізації». Друга позиція полягала у тому, що цифрові права — це специфічний феномен, який потребує осмислення: «Спершу треба визначити, про які права йдеться». Те, як представники урядового та неурядового секторів розуміють відповідальність за захист прав користувачів, де в чому відрізняється, а де в чому збігається. Під час дискусій щодо цього питання обидві групи зосередилися на темі захисту персональних даних. Проте змістовне наповнення теми було різним. Представники органів влади дотримуються позиції, що відповідальність має бути покладено на всіх суб'єктів правовідносин: «Передусім кожен відповідає за свої персональні дані сам. Провайдер має відповідати за те, щоб дані дійшли до адресата, якщо вони пересилаються, і щоб туди ніхто інший не вліз. Держава має відповідати за ті дані про людей, які в неї зберігаються. Є закон про захист персональних даних. Повноваження щодо контролю за дотриманням законодавства про захист персональних даних покладено на Уповноваженого Верховної Ради України з прав людини». Представники недержавного сектору зосереджуються на недоліках наявної системи: «Захист прав користувачів — це радше питання якогось омбудсмена. Однак у нас із незалежним органом, що його вимагає Конвенція Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних, і яким є Уповноважений Верховної Ради України з прав людини, — провал. У нас застарілий закон, який мав бути альтернативою і противагою Закону про доступ до публічної інформації. Він не враховує реалії. Механізм доведення порушення прав користувачів та ефективність правоохоронних органів — проблемні сфери захисту прав користувачів». Частина експертів вважають за необхідне здійснювати просвітницьку діяльність, спрямовану й на користувачів мережі інтернет, і на суспільство в цілому, задля кращого розуміння, як безпечно користуватися інтернетом, що таке кібергігієна та якою має бути саморегуляція у мережі. џ
Напрями розвитку
На думку експертів із неурядового сектору, безпечність інтернету повинна гарантувати держава. Водночас регулювання та законодавче обмеження цифрових прав мають розроблятися прозоро та відкрито, а блокування доступу може бути виправданим лише за рішенням суду за наявності вагомих підстав.41 41 https://zmina.info/articles/obmezhennjia_prav_v_interneti_riziki_dljia_ukrajini/
28
Експерти наголошують, що під час розробки будь-яких заходів щодо цифрових прав треба пам'ятати про баланс між захистом інформації і свободою висловлення поглядів, позицією ООН і практикою ЄСПЛ, та зважати на світовий досвід.42 У розробленні законодавства важливо враховувати: те, що стосується прав людини, належить до сфери регулювання Конституції. Тому логічною стає пропозиція доповнити Розділ ІІ Конституції України 43 нормою, що встановлює: основні права і свободи однаковою мірою застосовуються в режимі онлайн і оффлайн. Оскільки реалізація цифрових прав неможлива без користування інтернетом, важливо у законодавстві закріпити можливість доступу до інтернету як загальнодоступної послуги. За основу структурування й наповнення змістом усіх нормативних положень, що гарантують цифрові права, пропонуємо взяти підхід, запропонований у Рекомендації Комітету міністрів Ради Європи державам-членам щодо посібника з прав людини для інтернет-користувачів: 44 1. 2. 3. 4. 5. 6. 7. 8.
Загальні норми. Доступ і недискримінація. Свобода висловлення поглядів та інформації. Зібрання, об'єднання та участь. Приватне життя і захист даних. Освіта і грамотність. Діти і молодь. Ефективні засоби правового захисту.
42 https://zmina.info/articles/obmezhennjia_prav_v_interneti_riziki_dljia_ukrajini/ 43 http://zakon.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 44 Recommendation CM/Rec(2014)6 of the Committee of Ministers to member States on a Guide to human rights for Internet users // https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680 4d5b31
29
2.4 ПЕРСОНАЛЬНІ ДАНІ џ
Постановка проблеми
Держава та приватні компанії збирають дедалі більше персональних даних громадян, мотивуючи це або необхідністю поліпшити якість послуг, або посилити безпеку самих громадян. Тим часом право на захист персональних даних і мінімізацію їх збору з боку держави — пряма вимога європейських документів, і його може бути віднесено до окремих положень Конвенції про захист прав людини. џ
Загальний контекст проблеми
Розвиток процесів інформатизації суттєво актуалізував питання приватності та захищеності персональної інформації споживачів. Якщо до середини ХХ століття зберігалися переважно класичні форми збору даних, і кількість такої інформації була порівняно не значною, то розвиток комп'ютерних технологій, можливостей автоматизованої обробки даних, розвиток сфери послуг та поява ІТ-гігантів спричинили лавиноподібне зростання процесів збору персональних даних та їх подальшої обробки й зіставлення. Безумовно, в сучасних умовах обіг персональних даних стає об'єктивною необхідністю та, до певної міри, вимогою часу, але ключове питання — необхідності та достатності — все ще стоїть на порядку денному. І з кожним роком гострота питання посилюється, адже рівень приватності постійно (у міру розширення технологічних можливостей) падає, а можливості використання персональних даних лише зростають. 30
Щонайменше з середини 70-х років ХХ століття ця проблема починає з'являтись у полі зору західних політиків та державних інституцій, а в 1981 році Рада Європи ухвалила один із ключових документів — Конвенцію про захист осіб у зв'язку з автоматизованою обробкою персональних даних. І нині принципи, на яких базується зазначена Конвенція, залишаються актуальними й мають бути основою для вдосконалення законодавства. Водночас розвиток ІТ, і передусім інтернет-платформ (соціальні мережі, торговельні майданчики), змінює акценти щодо збору та використання персональних даних — якщо раніше держава та її структури (передусім безпекові) вважалися основними порушниками принципів приватності, то тепер до таких порушень часто вдаються недержавні структури. Персональні дані та їх використання мають і виразний політичний вимір — історія з Cambridge Analytica показала, що персональні дані можуть бути й інструментом, який безпосередньо впливає на виборчий процес. Серія скандалів зі збиранням (та подальшим поширенням) надмірної кількості персональних даних соціальними мережами створила підґрунтя для посилення національних і наднаціональних зусиль, спрямованих на захист персональних даних. Із цією метою ЄС ухвалив Загальний регламент захисту даних (General Data Protection Regulation, GDPR) який значно розширив можливості громадян контролювати, які саме їхні дані збирають, як обробляють, а також дає змогу припиняти цей процес. Відповідно до положень GDPR, тепер компанії зобов'язані ширше інформувати громадян про те, які дані вони про них збирають і що планують з ними робити. У випадку порушення цих норм передбачено значні штрафи — станом на 2019 рік найбільшим є штраф, що його стягнув Інформаційний комісар Великої Британії з компанії British Airways: 204 млн. євро, а в 2018 році французький регулятор CNIL стягнув із компанії Google штраф 50 млн. євро. Є й приклади менших штрафів у інших європейських державах за новим Регламентом (у Австрії — 4000 євро, у Португалії — 400 тис. євро, у Данії — 200 тис. євро, у Польщі — майже 220 тис. євро). Ситуація з захистом персональних даних в Україні має свою історію. 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до неї. Для реалізації зазначеної конвенції в 2011 році було ухвалено Закон України «Про захист персональних даних» і водночас із цим утворено Державну службу захисту персональних даних. Із низки причин у подальшому обов'язок захисту персональних даних було покладено на Уповноваженого Верховної Ради України з прав людини. Проте є питання щодо належної інституційної спроможності Уповноваженого повною мірою виконувати цю функцію. Наразі рівень та якість захисту персональних даних українських громадян експерти частіше за все характеризують словами «катастрофа» та «хаос» — торгівля різноманітними державними базами даних (які містять персональні дані громадян України) стала масовою, а покарання за такі злочини — неспівмірні зі шкодою. 31
Випадки притягнення громадян до відповідальності за злочини в цій сфері поодинокі й не можуть мати форми застереження. Наприклад, за спробу продати базу з персональними даними українців громадянина України було засуджено лише до сплати штрафу 17 тис. грн. Мало того, навіть у випадках, коли вину звинувачених доведено, часто суди вважають, що «потерпілих немає», хоча вочевидь потерпілі — це всі ті, чиї дані могли потрапити до сторонніх осіб. Не менша проблема — безпекові виклики збереженню персональних даних, що їх збирають передусім державні інституції. Щонайменше з 2014 року Україна розпочала інтенсивний процес інформатизації численних державних послуг, зокрема в таких чутливих сферах, як охорона здоров'я. Незважаючи на наявність вимог відповідальних урядових структур щодо безпечності обробки такої інформації, українські та іноземні експерти висловлюють сумніви щодо дієвості цього захисту. Найбільше занепокоєння викликає ситуація в сфері охорони здоров'я — система eHealth, запущена частково ще у 2017 році, навіть на етапі проектування мала обмежені вимоги до безпеки даних (в т. ч. щодо ідентифікації користувачів системи). Часто залишається незрозумілим, хто є розпорядником цих даних і як відповідає за збереження цих даних. Євроінтеграційний напрям — іще одне стратегічне питання, пов'язане із захистом персональних даних. Угода про асоціацію містить низку статей, у яких або прямо вказано на зобов'язання України забезпечити захист персональних даних (зокрема Ст. 15 Розділу 3), або про це згадується в контексті інших напрямів реалізації Угоди. Зближення України та ЄС ставить питання і про адаптацію до української практики вимог GDPR і можливостей його застосування. Зусилля влади в цих питаннях фрагментарні й здебільшого ситуативні. Загрози персональним даним, на які звертають увагу представники неурядового сектору, або ігноруються, або залишаються невирішеними, що подекуди зумовлено суто політичними причинами, а в інших випадках — нерозумінням реальності загроз. Останнє — особливо складна проблема, адже якщо в нормативному сенсі (визначення чітких рамок правових взаємовідносин у цій сфері) вимоги до захисту може бути змінено, сприйняття загроз залишається складною сферою, критичною для повноцінної імплементації навіть цілком однозначних нормативних рішень. џ
Погляди на проблему представників урядового та неурядового секторів
Для урядових структур питання захисту персональних даних майже не актуальне — якщо про нього і згадують, то виключно як про проблему ефективнішої моделі технічного захисту інформації. А тим часом представники неурядового сектору звертають увагу на значно ширший комплекс питань, і передусім — нормативний: «У нас серйозні проблеми в регулюванні. У нас є недорегулювання або неправильне регулювання речей. Водночас маємо розуміти: ми стоїмо перед тими ж викликами, що і Європа, хоча в нас є своя специфіка, яку в Європі часто не розуміють». 32
У цьому сенсі основне занепокоєння викликає впровадження GDPR. І хоча Офіс омбудсмена розробив проект закону-імплементації GDPR в Україні, до нього виникає багато запитань. Неурядовий сектор навіть частіше за державний виступає за стриманість у його впровадженні в Україні: «Що стосується GDPR. Однозначно не треба сліпо імплементувати GDPR. Ключове, чого не вистачає і що робить ефективним GDPR, — це наглядовий орган, до якого можна звертатися у випадку порушення. Це ключове». Водночас GDPR пропонують розглядати в ширшому контексті, ніж суто питання захисту персональних даних і прайвесі: «Нині регуляції щодо персональних даних розглядають не в контексті “людина – держава”, а в контексті “людина – інтернет-платформа”. Платформи переходять від концепції контент-платформи до концепції редактора. Вони промотують певний контент. Європейські колеги хвалять GDPR в контексті того, що є певні можливості висувати вимоги до цих великих платформ, які користуються нашими даними. Чого нам бракує — це налагодженої комунікації між українським урядом та інтернет-платформами. Якщо ринок ЄС має важелі впливу, то Україна їх не має», — кажуть неурядові експерти. Експерти ж зазначають, що механізм прийняття GDPR та практика його реального застосування ще потребують вивчення: «GDPR — це приклад того, як різні групи стейкхолдерів вкладають у документ щось своє. Над GDPR працювали європейські експерти зі сфери захисту персональних даних. Він не ідеальний. Для України може бути корисно не копіювати, а подивитися, як працює». Але водночас зроблено такий акцент: «Європейці, коли ухвалили GDPR, уклали його досить розумно, бо там враховано інтереси великих корпорацій та користувачів. Але й вони кажуть, що Україна не повинна копіювати сліпо весь досвід. У нас є дуже багато речей, які можуть конфліктувати з GDPR, і їх треба розглядати покроково». Є й занепокоєння щодо форм імплементації норм такого закону з боку держави — фактично постає питання, наскільки готова держава (інституційно, нормативно, судово) до такого впровадження. Представники урядових структур кажуть, що готуються до вирішення можливих проблем і загалом готові до впровадження закону: «У рамках нашого закону про цифрові права ми планували навчання суддів і юристів. Це буде звичайне звернення до суду, і ті, хто пройшов відповідне навчання, будуть ухвалювати рішення щодо GDPR», — зазначають вони. Водночас обидві сторони констатують, що українське законодавство в сфері захисту персональних даних явно застаріле й потребує суттєвого оновлення. І саме посилаючись на європейський досвід підготовки, вони говорять про необхідність спільної роботи над оновленням законодавства: «Але якщо стосовно персональних даних ви скажете, що давайте розробляти з бізнесом і громадянським суспільством законопроекти, я думаю, це буде раціонально звучати».
33
Захист персональних даних користувачів має стати неодмінною складовою дискусії про їхню обробку. Ті безпекові недоліки урядових систем, пов'язаних із обробкою персональних даних громадян (наприклад, у системі охорони здоров'я), що їх експерти вже виявили, слід усунути, а безпекові вимоги треба покласти в основу всіх таких ініціатив. џ
Напрями розвитку
Пріоритетними напрямами формування державної політики в сфері персональних даних мають бути розвиток інституційних спроможностей, вдосконалення нормативно-правового поля, адаптація українського законодавства до вимог ЄС та безпекові пріоритети: џ
џ
џ
џ
џ
Потрібен повноцінний аудит ефективності інституційної моделі захисту персональних даних в Україні. У зв'язку з переданням у 2014 році відповідних повноважень Уповноваженому Верховної Ради України з прав людини слід провести комплексне оцінювання спроможності Уповноваженого виконувати відповідні функції в сучасних умовах. Україна потребує дієвого наглядового органу в цій сфері, який би став справжнім майданчиком для звернення громадян, де вони могли б отримати дієву допомогу. Українське законодавство в сфері персональних даних (їх захисту) потребує повноцінного перегляду з урахуванням чинним європейських підходів до цієї проблеми, з повноцінною імплементацією вимог Угоди про асоціацію та інших міжнародних документів у цій сфері, які було ратифіковано та ухвалено в Україні. Законодавчі ініціативи в сфері захисту персональних даних має бути спрямовано також на формування простору для поліпшення діалогу щодо цього питання із ІТ-гігантами, особливо соціальними мережами та торговельними інтернет-майданчиками. Їхня фактична екстериторіальність вимагає пошуку дієвих рішень, завдяки яким дані українських громадян були б захищені так само, як і дані громадян інших держав. GDPR — не лише загальноєвропейський регуляторний акт, але й стратегічне бачення сфери персональних даних, яке пропонує ЄС. З огляду на євроінтеграційний поступ України, маємо сформувати власну стратегію адаптації такого бачення до українських умов. Відповідні зміни мають відбуватися неодмінно із залученням неурядового сектору та бізнесу задля створення збалансованого консенсусного документу. Безпека персональних даних має стати центральним елементом будь-яких урядових ініціатив і нормативно-правових змін. Вимоги до кібербезпеки таких систем має бути суттєво підвищено (базуючись на міжнародних стандартах кібербезпеки), а відповідальність за порушення правил обробки (або несанкціонованого поширення) персональних даних — посилено.
34
2.5 ВЗАЄМОДІЯ УКРАЇНИ (ДЕРЖАВА, ГРОМАДЯНСЬКЕ СУСПІЛЬСТВО, ТЕХСПІЛЬНОТА) З FACEBOOK, GOOGLE ТА TWITTER џ
Постановка проблеми
Перенесення суспільної взаємодії в онлайн-простір, становлення соціальних мереж як платформ для спілкування / висловлення власної позиції й ресурсу отримання новин для користувачів створили нові умови формування публічного дискурсу та призвели до появи нових, поки що не вирішених проблем у сфері правових взаємовідносин. Із огляду на традиційний і цілком вмотивований демократичний інтерес та вплив держави на функціонування такого дискурсу (гарантування права на інформацію, заборона мови ненависті й дискримінації, антидифамаційні норми тощо), питання врегулювання суспільних відносин у онлайні — один із сучасних викликів для демократичного суспільства з огляду на пріоритетність прав і свобод людини в цьому просторі. За даними дослідження Kantar TNS CMeter, із липня 2017 року трійка сайтів, що їх найчастіше відвідують українці, залишається незмінною: Google, Youtube, Facebook. За цей же період Instagram стабільно посідає 11–13 місце. Цими ресурсами щомісяця послуговуються приблизно 22, 17, 15–16 та 6 млн користувачів відповідно.45 Протягом 2018–2019 рр. 23% населення України отримують новини (інформацію) з соціальних мереж, 12% їм довіряють. Серед тих українців, для яких соціальні мережі стали основним джерелом інформації, 74,2% користуються Facebook, ще 33,5% користуються Instagram, а 7,2% — Twitter. Для більшості активних користувачів соціальних мереж (56%) основна причина користуватися ними задля отримання інформації про актуальні події — зручність, оскільки це багато інформації з різних джерел, зібраної в одному місці. Ще 31% аргументують свою позицію тим, що інформація з'являється швидше, ніж у ЗМІ. 3 з 4 активних користувачів соціальних мереж (77%) погоджуються, що в них багато дезінформації й фейків. Водночас 51% вважають, що заходів боротьби з ними мають вживати насамперед власники й керівники мереж, 39% — що держава, 28% — що самі користувачі мереж.46 Наразі в Україні є низка чинників, що ускладнюють врегулювання діяльності інформаційних гігантів: џ
у нормативно-правовому полі не визначено сферу онлайн-засобів комунікації та масової інформації;
45 https://tns-ua.com/page/1?s=Рейтинг+популярних+сайтів+ 46 Джерела інформації, медіаграмотність і російська пропаганда: результати всеукраїнського опитування громадської думки // https://detector.media/infospace/article/164308/2019-03-21-dzherelainformatsii-mediagramotnist-i-rosiiska-propaganda-rezultati-vseukrainskogo-opituvannya-gromadskoidumki/
35
џ
технологічні гіганти не представлено офіційно на національному рівні. Це стосується й Google, якому належить також Youtube, і Facebook, якому належать Instagram і WhatsApp.47 Діяльність юридичної особи ТОВ «Гугл», що зареєструвалася в Україні у 2010 році, зосереджено на сфері реклами. Представництва Facebook в Україні немає. За суттєвий прорив визнано призначення в червні 2019 року у варшавському офісі компанії фахівця (Policy manager), відповідального за взаємодію з Україною.
Брак усеосяжного інституалізованого співробітництва з інформаційними гігантами та певних важелів впливу на них із боку держави зумовлюють ситуації, за яких заявки ігноруються або затягується процес їх розгляду. Скажімо, попри досягнуті домовленості, Facebook не розкрив дані щодо фінансування політичної реклами під час президентських виборів в Україні, зокрема тієї, яка з'являлася в період тиші.48 Хоча 20 і 21 квітня 2019 року на офіційній Facebook-сторінці одного з кандидатів у Президенти України було розміщено 1171 таргетований рекламний допис — безпрецедентна для української виборчої кампанії кількість.49 џ
Загальний контекст проблеми
Google і Facebook — компанії-посередники (intermediary, provider) відповідно 3-го та 6-го рівня за класифікацією посередників.50 Як посередники, ці мережеві інтернет-сервіси не виробляють, а зберігають інформацію та сприяють її поширенню. Наразі Google та Facebook керуються у своїй діяльності законодавством США, міжнародним законодавством у сфері прав людини, саморегулювальними документами, національним законодавством країн. Від самого початку розвитку інтернету ця сфера розглядалася як саморегулятивна. Зокрема саморегулювання закріплено в документах Ради Європи, у яких зазначено, що держави-члени мають заохочувати саморегулювання щодо контенту, який поширюється в інтернеті,51 створення саморегулювальних стандартів для представників інтернет-суб'єктів, тощо.
47
Тому в подальшому ми апелюватимемо просто до Google або Facebook.
48 https://tyzhden.ua/Politics/229964 49 https://oporaua.org/en/blog/vybory/vybory-prezydenta/vybory-prezydenta-2019/18466-tomos-evropaliftove-gospodarstvo-iak-oda-agituvali-za-poroshenka-u-facebook 50 Існують певні класифікації інтернет-посередників, зокрема класифікація, яку запропонував Спеціальний доповідач Організації Об’єднаних Націй (ООН) з питання про право на свободу переконань і їх вільне висловлення. Відповідно до неї, Google належить до посередників «Пошукові системи та портали в інтернеті», Facebook — до «Платформ для інтерактивної мережевої роботи» (Глобальные тенденции в области свободы выражения мнений и развития средств массовой информации. Цифровые средства информации, 2015 г. ЮНЕСКО, 2017). 51 Декларація про свободу комунікації в інтернеті (2003 р.), Рекомендація Комітету міністрів державамчленам щодо саморегулювання щодо кібер-змісту (2001 р.)
36
«Захист» інтернет-посередників забезпечується низкою впливових документів Ради Європи, які обмежують їхню відповідальність, зокрема, Директива «Про електронну комерцію» (2000 р.), Декларація про свободу спілкування в інтернеті (2003 р.) та Керівні принципи для провайдерів інтернет-послуг (2008 р.).52 Водночас обсяги інформації, що поширюються за допомогою цих компаній, швидкість поширення, наявність специфічних алгоритмів доставляння інформації тощо, а у підсумку вплив на процеси, які відбуваються в державах, зумовлюють необхідність визнати за цими компаніями більшу відповідальність, аніж суто за посередництво. Саме ці аспекти стали однією з причин ухвалення у 2018 році французького Закону щодо протидії маніпулюванню інформацією 53 («contre la manipulation de l'information»). Закон містить правові норми, що регулюють виборчий період, та загальні правові норми. До перших належить вимога прозорості цифрових платформ та процедура розгляду судового позову в пришвидшеному порядку, щоб мати можливість оперативно зупиняти поширення фальшивих новин. Поза межами виборчих періодів закон накладає на цифрові платформи обов'язок співпраці з державою, зокрема ті платформи, на яких перевищується певна кількість з'єднань за день,54 повинні мати законного представника у Франції та оприлюднювати свої алгоритми. Крім того, від платформ вимагається вживати заходів, спрямованих на боротьбу з фальшивими новинами, та оприлюднювати ці заходи. Закон Німеччини «Про захист мереж» 55 (2017 р.) фактично змушує соціальні мережі підпорядковуватися національному законодавству в формі запровадження ефективних способів сповіщення про незаконний контент та його обов'язкове видалення. Платформи також мають видаляти будь-яку інформацію, про яку користувачі заявили, що вона порушує закон (якщо вона справді його порушує), протягом 24 годин або протягом семи днів, якщо кейс складніший.56 І Франція, і Німеччина передбачили механізми контролю за діяльністю соціальних мереж із метою протидії поширенню недостовірної інформації та встановили штрафні санкції за порушення законодавства. 52
«Проблеми взаємодії органів державної влади з Google та Facebook у сфері протидії поширенню фейкових новин» (аналітична доповідь) // Міжнародна конференція «Уроки гібридного десятиліття: що треба знати для успішного руху вперед». Київ, 2018. 31 с.
53 Loi n° 2018-1202 du 22 d cembre 2018 relative la lutte contre la manipulation de l'information. https://www.legifrance.gouv.fr/eli/loi/2018/12/22/2018-1202/jo/texte 54 Відповідні граничні норми визначено указом, що набув чинності 15 квітня 2019 року: це стосується платформ, якими користуються понад п’ять мільйонів унікальних відвідувачів на місяць у Франції, а зобов’язання щодо прозорості починаються із суми винагороди понад 100 євро до оподаткування. // D cret n° 2019-297 du 10 avril 2019 relatif aux obligations d’information des op rateurs de plateforme en ligne assurant la promotion de contenus d’information se rattachant un d bat d’int r t g n ral, Journal officiel, 11 April, 2019 55 https://goo.gl/2CreR1 56 https://tyzhden.ua/World/229965
37
Країни ЄС уклали з представниками Facebook, YouTube, Microsoft і Twitter Кодекс протидії дезінформації 57 (Code of Practice on Disinformation; він передбачає, що компанії перевірятимуть і видалятимуть пости, які містять «мову ненависті», протягом 24 годин після того, як користувачі повідомляють про таке порушення. У Європі у Google та Facebook також функціонує спеціальний портал для запитів від представників поліції країн ЄС. Портал уможливлює швидше оброблення інформації за запитами. В України немає до нього доступу. Протягом останніх років Україна досягла певного прогресу у взаємодії з Facebook. Із боку органів влади це співпраця кіберполіції та Міністерства інформаційної політики. Кіберполіція розпочала співробітництво з Facebook восени 2018 року. Спочатку це переважною стосувалося кримінальних справ і питань суїцидів, а згодом фокус уваги змістився у площину інформаційної безпеки виборчого процесу. Наразі в Україні інституалізовано такі механізми: џ џ
џ
57
взаємодія через ситуаційний центр кіберполіції та офіцера зі зв'язків із правоохоронними органами в офісі Facebook у Дубліні; запит на міжнародну правову допомогу. Україна наразі активно використовує цей механізм і спрямовує дедалі більше запитів; у такий спосіб напрацьовується практика; т. зв. emergency requests, коли існує реальна загроза життю людей. Це випадки, коли законодавство країни, де розташовано компанію-власника інформації, зобов'язує її розкрити інформацію для уникнення загрози життю людини. https://ec.europa.eu/digital-singlemarket/en/news/code-practice-disinformation
38
Перед виборами кіберполіція спостерігала поширення фейків у Facebook і виступила з ініціативою: якщо виявляли схожу інформацію, то відразу спрямовували запит до мережі, і вона видаляла фейк. У такий спосіб проблему вдалося мінімізувати. Враховуючи ініціативу з українського боку, Facebook прискорив впровадження «бібліотеки політичної реклами». Цей механізм досить ефективний. Тим часом загальна ефективність співробітництва ще не достатня. Україна отримує позитивну відповідь на запити, якщо це відповідає безпосередньо політиці Facebook, що ґрунтується на законодавстві США та політиці самої компанії. Що ж до інформаційних кампаній і пропаганди, то Facebook має свою внутрішню програму, як вони її називають — програму протидії координованим інформаційним операціям. На поточному етапі компанію турбує засилля неавтентичних користувачів, які використовують, щоб впливати на вибори, поширювати пропаганду. Співпраця Міністерства інформаційної політики стосувалася налагодження взаємодії з мережею щодо: џ
џ џ
підтримки обміну інформацією щодо конкретних ситуацій із блокуванням українських користувачів за умови наявності детальних відомостей про причини та обставини блокувань. Представники Міністерства за необхідності можуть спрямовувати деталізовану інформацію про блокування українських користувачів для додаткового розгляду на предмет наявності фактів порушення стандартів спільноти Facebook; 58 протидії втручанню у виборчі процеси; 59 верифікації сторінок органів влади у Facebook.60
Як зазначають експерти, співпраця уряду з Facebook розвивається, проте готовності Google до таких дій поки що не спостерігається. џ
Погляди на проблему представників урядового та неурядового секторів
У питанні налагодження взаємодії України з інформаційними гігантами у представників урядового та неурядового секторів позиція переважно збігається: потрібно встановити такі правила й досягти таких домовленостей, які будуть вигідними і для українців, і для компаній. Учасники обох груп також розуміють, що Україна — невеликий ринок для Google і Facebook, що в цілому позначається на виборі важелів впливу на компанії, у т. ч. й законодавчих. Відтак, наразі про «зарегулювання» платформ і тиск на них не йдеться.
58 http://mip.gov.ua/news/2516.html 59 http://mip.gov.ua/news/2917.html 60 http://mip.gov.ua/news/2234.html
39
Налагодження стосунків із інформаційними гігантами пов'язане з участю стейкхолдерів у міжнародних заходах (наприклад, #EuroDig2019, IGF), на яких присутні представники цих компаній і де можна зрозуміти глобальний дискурс щодо взаємодії в інтернеті. На відміну від представників громадянського суспільства, урядовці набагато рідше беруть участь у таких подіях. Багато в чому це пов'язано з тим, що до вересня 2019 року в уряді не було призначено орган влади, відповідальний за питання інтернету. Представник недержавного сектору: «Найкраще було б, якби ми могли встановити певні співрегуляторні механізми для досягнення спільних інтересів. Сфери для поєднання зусиль між громадянським суспільством, органами влади та платформами такі: џ џ џ
вибори, мова ворожнечі; ідентифікація медіа в інтернеті для розмежування «зливних бачків і груп» та медіа, що дотримуються редакційних стандартів; протидія кіберзлочинам».
Представник органів влади: «Ми радше підлаштовуємося як країна, аніж впливаємо на технологічних гігантів». Практики Європейського Союзу демонструють, що Google і Facebook можна розглядати як монополістів у сфері донесення й контролю певної інформації. Якщо монополіста ніхто не контролює й не обмежує, він вдається до зловживань. Тому монополія потребує відповідних законодавчих механізмів регулювання.61 Доцільним визнається заохоченням до створення конкуренції. Ця позиція співзвучна ідеям представників Демократичної партії США щодо створення антимонопольного законодавства, яке не дозволяло б технічним гігантам перетворюватися на «гігантів», а ті, хто вже ними стали, мали б «розформуватися» на менші одиниці, — наприклад, Facebook мав би продати Instagram та WhatsApp.62 Проте така пропозиція навряд чи матиме широку підтримку. џ
Напрями розвитку
Подальший пошук механізмів взаємодії між Україною та компаніями Google і Facebook важливий і в контексті інформаційної безпеки держави загалом, і в плані протидії поширенню фейкової інформації зокрема, і як стратегічний ресурс на майбутнє, адже наразі визначити всі потенційні ризики й загрози неможливо. Тому інституалізована співпраця має стати інструментом, що сприяє загальній стійкості: національній і транснаціональній.
61 https://www.ukrinform.ua/rubric-presshall/2729174-ci-moze-facebook-buti-efektivnim-sodo-protidii-movinenavisti-ta-dezinformacii.html 62 https://tyzhden.ua/World/229965
40
Наразі взаємовідносини щодо контенту між державними органами з Google та Facebook реалізуються в двох основних режимах: џ џ
запит / скарга (апелювання державних органів до національних законів, закріплення вимог реагування в окремому законі); співробітництво (апелювання державних органів до саморегулювальних документів; запровадження принципів співрегулювання).
Запити державних органів до мережевих компаній-посередників, пов'язані, зокрема, з видаленням та / або обмеженням доступу до контенту.63 Запити можуть подавати фізичні та юридичні особи, централізовано та диференційно, прямо до інтернет-сервісів чи через правоохоронні органи країни, де розташовано штаб-квартиру. Обмеження контенту на вимогу уряду обов'язково має супроводжуватися комунікацією уряду з громадянами з приводу їхніх запитів на обмеження контенту компаніям.64 Одна з форм регулювання державою процесу реагування на запити / скарги — закріплення термінів видалення в окремому законі. Основою взаємовигідного співробітництва має бути увага державних органів до саморегулювальних актів Google і Facebook, а також Принципів та Керівництва з імплементації принципів Глобальної мережевої ініціативи, які визначають можливість співробітництва з урядами для поширення свободи висловлення та захисту приватного життя, а також визнають співробітництво з державою як таке, що сприяє реалізації принципів Глобальної мережевої ініціативи.65 Різновид співробітництва — співрегулювання. Вочевидь, у пошуку механізмів взаємодії Україна буде виходити з факту членства в Раді Європи, а відтак необхідності дотримуватися її рекомендацій, зокрема щодо відповідальності інтернет-посередників. З іншого боку, Доктрина інформаційної безпеки України визначає пріоритетом інформаційної політики «законодавче врегулювання механізму виявлення, фіксації, блокування та видалення з інформаційного простору держави, зокрема з українського сегмента мережі інтернет», забороненого контенту.66
63 Порушення правил компанії або відповідного місцевого законодавства можуть спричиняти видалення контенту без запитів державних органів. 64 goo.gl/na2Ehy 65 https://globalnetworkinitiative.org/sites/default/files/GNI-Principles-on-Freedom-of-Expression-andPrivacy_0.pdf 66 http://www.president.gov.ua/documents/472017-21374
41
Існує позиція, що для України стратегічно невигідне подальше функціонування інформаційних гігантів як посередників. Аналізу потребує зміна статусу (рекласифікація) Google та Facebook на медіа. Це спричинить і зміни у правовій основі взаємодії з ними. Наразі правову основу взаємовідносин із такими інтернет-сервісами становить договірне й комерційне право, а за зміни статусу це буде законодавство у сфері масових комунікацій (медіа). Підстави для визначення Google та Facebook як медіа — чинні алгоритми пошуку інформації та добору джерел новин, налаштування стрічки новин, рекламування новин, ранжування сайтів, що, власне, є різновидом редакційного процесу.67
2.6 РЕГУЛЮВАННЯ КОНТЕНТУ В ІНТЕРНЕТІ џ
Проблема
Питання законодавчого регулювання контенту в інтернеті в Україні під час дискусій часто зводилося до обговорення такого обмежувального засобу, як блокування доступу до вебсайтів. Таку вузьку спрямованість зумовлено тим, що рішення Ради національної безпеки й оборони України щодо запровадження санкцій вимагає розробити та впровадити механізм блокування інформаційного ресурсу операторами та провайдерами. На виконання цього рішення до Верховної ради було внесено кілька законопроектів, жоден із яких не було ухвалено через активний спротив ITспільноти та громадських організацій. Незважаючи на те, що блокування доступу до вебресурсів широко використовується в різних країнах для захисту вразливих груп (дітей, жінок, ЛГБТ), захисту прав інтелектуальної власності та ін., в Україні його розглядають переважно в контексті свободи слова, підходи до обмеження якої значно відрізняються в урядовому та неурядовому секторах. Загалом нині в Україні проблема регулювання контенту в інтернеті набагато ширша, ніж запровадження механізму блокування, і має три такі виміри: 1. Необхідність адаптувати українське законодавство до норм європейського законодавства (це, серед іншого, передбачає зменшення ролі держави та запровадження ефективніших запобіжників порушенню прав людини); 2. Необхідність адаптувати законодавчу базу до змін у інформаційній та інших сферах, спричинених розвитком цифрових технологій; 3. Необхідність протидіяти активним заходам РФ, ефективність яких зросла через розвиток цифрових технологій
67 Проблеми взаємодії органів державної влади з Google та Facebook у сфері протидії поширенню фейкових новин (аналітична доповідь) // Міжнародна конференція «Уроки гібридного десятиліття: що треба знати для успішного руху вперед». Київ, 2018. 31 с.
42
Чи необхідне регулювання? Погляди різних учасників на необхідність регулювання розійшлися. Якщо представники Інтернет Асоціації України (ІнАУ) вважають, що «нам потрібна не регуляція інтернету, а саморегуляція», представники урядового сектору наголошують на необхідності державної регуляції: «Загрози, які несуть нові технології, розвиваються. Певне регулювання має бути, поки існують держави. Держава має створювати в інформаційній сфері певні умови. І покладати завдання на певні органи. Коли немає певних норм, важко не допускати зловживань правом і технологіями». Представники правоохоронних органів також наголошували на необхідності закласти правову основу для сфери інформаційної безпеки, яка, за їхніми словами, залишається недосконалою. Експерти неурядового та урядового секторів погоджувалися, що людина має право на свободу слова, та водночас мають бути правові рамки користування цим правом. Такі правові рамки існують у сфері традиційних ЗМІ, але їх слід встановити і в інтернеті, адже онлайн- та оффлайн-права не можуть бути різні. Погляди на те, якими мають бути ці рамки й чи достатньо це питання врегульовано в Україні, не збігалися. Однак експерти погодилися на тому, що необхідно запровадити механізми відповідальності для недобросовісних суб'єктів у інтернеті. І представники урядових структур, і представники ГО вказували на наявність прогалин у чинному законодавстві. На думку ГО, унормування потребує робота журналіста онлайн чи у соцмережі, особливо в період виборів, робота інтернет-видань і захист прав журналістів інтернет-видань. Деякі представники ГО згадували приклад Німеччини, де, за їхніми словами, врегульовано діяльність відеоблогерів. Урядовці наголошували на необхідності ухвалити закон, який визначав би правові підстави й механізми блокування вебсайтів. Попри дуже негативну реакцію з боку громадянського суспільства на законопроект №6688, правоохоронці вважають законопроект добрим, адже він «ставив за мету запровадити механізми блокування ресурсу в рамках кримінального провадження і визначав певну процедуру, зміни в КК, повноваження слідчого прокурора, слідчого судді, і те, як провайдерам виконувати зобов'язання». Представники безпекового сектору наголошували, що іноді треба поступитися певними правами та свободами в інтересах власної безпеки та безпеки держави, але має бути чіткий правовий механізм застосування таких обмежень. Погляди державних і недержавних експертів на те, яким має бути цей механізм, значно відрізнялися. Особливості державного регулювання та розповсюдження контенту в інтернеті Можливості держави безпосередньо регулювати правовідносини в інтернеті дуже обмежені, адже держава, як і решта користувачів, має доступ до мережі лише через посередників, таких як провайдери.
43
Регулювання через посередників відбувається не лише у віртуальному світі. За законом, лікарі та аптеки не продають деякі ліки без рецепту, у магазинах не продають цигарки й алкоголь молодим людям, що не досягли певного віку. Інтернет — глобальна мережа, у якій немає формальних кордонів. Це означає, що інформаційні ресурси, які містять заборонений контент, фізично можуть перебувати поза юрисдикцією держави, але мешканці України матимуть вільний доступ до них. За бажання зловмисників, як зазначив учасник дискусії з урядовцями, користувачів не важко спрямувати на такі сайти через інструменти збільшення трафіку. Поза юрисдикцією держави можуть перебувати й деякі посередники, такі як соціальні мережі та інші технологічні гіганти, наприклад Google. Це означає, що на них не поширюється дія українського законодавства, і українська держава не має жодного впливу на те, як вони регулюють контент у себе на платформі. Крім того, це регулювання непрозоре, адже воно часто здійснюється за допомогою алгоритмів, які захищає комерційна таємниця. Запровадження механізмів відповідальності ускладнено через право на анонімність та недоступність даних про користувачів і виробників контенту, що їх захисники прав людини розглядають як позитивні, особливо в державах із репресивними режимами. Особливістю інтернету є ще й те, що переважна більшість ресурсів не лише надають користувачеві доступ до певної інформації, а ще й збирають інформацію про нього. У подальшому ці дані про користувачів використовуються для спрямованого подання інформації або таргетингу в інтересах комерційних, політичних чи інших суб'єктів, які намагаються впливати на вибір користувача. Крім того, брак чи недосконалість механізмів модерації контенту через неузгодженість критеріїв між різними гравцями, ускладненість їх застосування через великий обсяг інформації, недосконалість механізмів, базованих на штучному інтелекті (нечутливість до контексту, хибна ідентифікація забороненого або дозволеного контенту (false positives, false negatives) призводять до безперешкодної появи незаконного або шкідливого контенту. Ще одна проблема — наявність механізмів швидкого, вірусного розповсюдження інформації та висловлювань, вкинутих у відповідний момент і з відповідним емоційним забарвленням, їхня повторюваність для користувачів. Такий контент часто є маніпулятивним, недостовірним, однобоким, може порушувати права користувачів або створювати загрозу національній безпеці. Проте немає механізмів видалення контенту, який широко розповсюдився в мережі, — навіть коли цей контент визнано судом або іншим легітимним органом за такий, що підлягає видаленню. Бракує й механізмів швидкого реагування в разі вірусного розповсюдження контенту, який порушує права та / або може призвести до негативних наслідків (наприклад, насильства) в оффлайні. 44
Загрози в інформаційній сфері Обговорюючи загрози в інформаційній сфері, представники безпекового сектору наголошували на тому, що загрозливим є вплив певних ресурсів на громадську думку, із яким Україна стикається з 2014 року. Деякі урядовці бачили загрозу в самому факті розповсюдження шкідливого контенту: «Шкідливий контент не має поширюватися. Не зупинити його — це продовження злочину. Якщо не вживати заходів, то подивиться один, десять, завтра — тисяча. Це підбурювання до злочинних дій. Це підстава для блокування, щоб зупинити поширення контенту». Правоохоронці визначали сайти, що їх використовують терористичні організації, як такі, що загрожують нацбезпеці. Також ішлося про те, що далеко не завжди розповсюдження критичних висловлювань підбурюють зовнішні гравці: «Я далекий від думки, що критика президента чи влади — це обов'язково “рука Кремля”». Громадяни України мають право на критичні висловлювання, і, за міжнародними стандартами, це право має бути захищено. Блокування та інші обмежувальні заходи урядовці пояснювали гібридною війною, а критику з боку західних країн — відсутністю схожих процесів у тих країнах: «У нас гібридна війна, тому в нас такі відповіді на гібридні загрози». Представники громадського сектору вбачають загрозу, серед іншого, і в самій державі. «Загроз, по суті, дві, можливо, три. Перша — це загроза з боку держави. Держава останні років 15 намагається встановлювати певні правила. Друга проблема — зовнішній ризик, Росія. Третя проблема — інтереси нижчого порядку, люди, які хочуть мати певну вигоду». Доктрина інформаційної безпеки України визначає 7 актуальних загроз національним інтересам та національний безпеці в інформаційній сфері. Серед них 2 можуть потребувати законодавчого врегулювання поширення контенту: џ
џ
здійснення спеціальних інформаційних операцій, спрямованих на підрив обороноздатності, деморалізацію особового складу Збройних Сил України та інших військових формувань, провокування екстремістських проявів, підживлення панічних настроїв, загострення й дестабілізацію суспільнополітичної та соціально-економічної ситуації, розпалювання міжетнічних і міжконфесійних конфліктів в Україні; поширення закликів до радикальних дій, пропаганда ізоляціоністських та автономістських концепцій співіснування регіонів в Україні.68
Непрямий зв'язок між поширенням інформації / висловлювань і наслідком таких дій у реальному світі значно ускладнює законодавче встановлення обмежень, тобто ефективне визначення правових взаємовідносин у цьому питанні. 68 https://www.president.gov.ua/documents/472017-21374
45
Хоча терористичний контент переважно вважається загрозою, дослідження показують, що для того, аби контакт із таким контентом призвів до результату, якого прагнуть розповсюджувачі, потрібні певні умови, — наприклад, скрутне соціоекономічне становище.69 За певних умов не лише криміналізовані або відверто шкідливі висловлювання / інформація можуть завдати шкоди. Наприклад, людина має право казати неправду. Разом із тим, неправдива інформація, багаторазово поширена через велику кількість каналів, може сформувати хибне уявлення про світ, що потім впливає на поведінку користувача або груп користувачів. Такий інструмент як астротурфінг — створення ілюзії широкої підтримки певного явища, серед іншого й у віртуальному просторі, — пропагандисти широко використовують задля впливу на суспільні процеси в інших державах. Кожна країна має власні особливості, які роблять її вразливою до зовнішнього впливу. Серед них, наприклад, наявність суспільного конфлікту чи недосконалі механізми державного управління. Недостовірна інформація, достовірна інформація, поширена на певну аудиторію чи в певний момент, емоційно забарвлені висловлювання або описи подій, хоча й не є незаконними чи надто шкідливими самі по собі, можуть відіграти значну роль у розпалюванні конфлікту чи підриві довіри до державних інституцій. Цей взаємозв'язок і умови, за яких загрозу в інформаційній сфері може бути реалізовано через наявну вразливість, потребує подальшого вивчення. 69 Ines von Behr, Anais Reding, Charlie Edwards, Luke Gribbon Radicalisation in the digital era. The use of the internet in 15 cases of terrorism and extremism. https://www.rand.org/pubs/research_reports/RR453.html
46
Предмет регулювання та захисту Предмет регулювання / захисту багато в чому визначає підходи, які буде застосовано. Підхід держави Україна не збігається з міжнародним, а також із підходом громадянського суспільства. На необхідності досягнути спільного підходу наголошували представники громадського сектору: «Ми говоримо про бізнес, чи про безпеку, чи про права людини? Ми говоримо про спільні речі, які мали би бути критеріями для всіх цих законів». У Доктрині інформаційної безпеки України сказано про необхідність захищати інформаційний суверенітет. Закон «Про Національну програму інформатизації» визначає інформаційний суверенітет держави як «здатність держави контролювати й регулювати потоки інформації з-поза меж держави з метою дотримання законів України, прав і свобод громадян, гарантування національної безпеки держави». Цей підхід контрастує з підходом міжнародних організацій, які керуються Загальною декларацією прав людини. Зокрема в Статті 19 Декларації сказано, що «кожна людина має право на свободу переконань і на вільне їх виявлення; це право включає свободу безперешкодно дотримуватися своїх переконань та свободу шукати, отримувати й поширювати інформацію та ідеї будь-якими засобами й незалежно від державних кордонів». Представники ГО наголошували на первинності захисту права людини на свободу висловлення та доступ до інформації, які держава може обмежувати тільки за певних умов, а також згадували, що існує право на безпечний інформаційний простір. Різниця підходів зумовлює відмінність у виборі шляху: створювати однакові правила для всіх учасників — чи намагатися диференціювати між внутрішніми гравцями та різними зовнішніми гравцями. Питання обмеження контенту Представники різних груп мають різні мотиви та погляди на критерії обмежень контенту. Представники IT галузі переважно використовують емоційно заряджене слово «цензура» на позначення будь-якого регулювання та виступають категорично проти нього. Представники правоохоронних органів говорять про необхідність застосовувати обмеження для запобігання злочинам, припинення злочинів, захисту національної безпеки, і кажуть, що треба розуміти: деякі ситуації вимагають відмови від певних прав. Правозахисні ГО погоджуються з необхідністю регулювання, але наголошують на тому, що обмеження прав мають відповідати критеріям, визначеним у Статті 10 Європейської конвенції з прав людини та іншим міжнародним нормам.
47
Під час зустрічей наголошувалося, що провайдери / оператори насамперед користуються спеціальним законом — це Закон України «Про телекомунікації». За словами представників приватного сектору, там чітко визначено, як має поводитися оператор. Стаття 39.18 цього закону зобов'язує операторів телекомунікацій «на підставі рішення суду обмежувати доступ своїх абонентів до ресурсів, через які здійснюється розповсюдження дитячої порнографії». Під час обговорення представники правоохоронних органів наголошували на необхідності розробити правовий механізм, який дозволить обмежувати доступ до контенту в інтернеті, насамперед на виконання рішень РНБО, якими запроваджуються санкції. На їхню думку, закон «Про санкції» необхідно вдосконалювати, щоб «обмеження доступу до ресурсів було не в розділі “та інші види санкцій”, а конкретно прописати, як саме, у який спосіб, хто має виконувати». Вони також посилалися на Статтю 10 Європейської конвенції з прав людини, але наголошували, що держава має право запроваджувати обмеження в інтересах національної безпеки: «Є правові норми, які ми маємо використовувати в законодавстві, супроводжуючи розгляд законопроектів, що стосуються обмеження доступу до ресурсів. Є Стаття 10 Конвенції про захист прав людини. Вони дають обмеження, яке має бути дотримання вимог. Я не бачу конфлікту й наступу на свободу слова». Правоохоронці також наголошували на існуванні обмежень у країнах НАТО, називаючи їх «цензурою»: «Натівські колеги ніколи не висловлювалися за цензуру в інтернеті, вони виступають за прозорість критеріїв. Цензура у них є і, повірте, вона жорсткіша, ніж тут. Головне — щоби критерії були прозорі. Якщо якийсь критерій не демократичний — щоб суспільство могло вплинути і це змінити». Обстоювали необхідність блокувати дедалі більшу кількість сайтів тим, що країна-агресор може відкривати інші сайти. На думку одного з учасників обговорення, українське законодавство в різних законах уже містить підстави для обмеження контенту, але ці норми розкидано по різних законодавчих актах і вони потребують систематизації. Щодо критеріїв, учасники дискусії з урядовцями наголошували на складності узгодження таких критеріїв: «Але складна ситуація, бо хто визначає критерії? У всіх різні погляди. У нас законодавчо зафіксовано поширення інформації, яку заборонено. Воно якраз і не повинно допускатися. І відповідальність настає за поширення такого контенту. Просто зробити перелік критеріїв... Він буде неповним завжди. Фахівці будуть ставити питання й не буде консенсусу визначень». Виходячи з позицій міжнародного права, на які спираються правозахисні ГО, право на свободу вираження не є абсолютним і його можна обмежувати (згідно зі Ст. 4 Міжнародного пакту про громадянські й політичні права). Обмеження в інтересах національної безпеки можна запроваджувати «Під час надзвичайного становища в державі, за якого життя нації опиняється під загрозою і про наявність якого офіційно оголошується».70 70 zakon.rada.gov.ua/laws/show/995_043
48
Крім того, ці обмеження мають: 1) встановлюватися законом 2) мати легітимну мету 3) бути необхідними в демократичному суспільстві. Легітимна мета визначається більш або менш широко різними міжнародними документами. Так, згідно зі Статтею 10 Європейської конвенції про захист прав людини й основоположних свобод,71 право на свободу вираження поглядів можна обмежувати «в інтересах національної безпеки, територіальної цілісності або громадської безпеки, для запобігання заворушенням чи злочинам, для охорони здоров'я чи моралі, для захисту репутації чи прав інших осіб, для запобігання розголошенню конфіденційної інформації або для підтримання авторитету та безсторонності суду». Сіракузькі принципи тлумачення обмежень та відступів від Міжнародного пакту про громадянські й політичні права 72 визначають легітимний інтерес національної безпеки як такий, що спрямований на «захист існування нації або її територіальної цілісності чи політичної незалежності від застосування сили чи загрози застосування сили». Фундаментальним із точки зору захисту прав людини критерієм виступає пропорційність. Тест на пропорційність полягає в тому, що суд має розглянути, чи є пропоноване обмеження «найменшим обмежувальним засобом» для досягнення відповідної мети. Коли йдеться про обмеження в інтересах національної безпеки, то йдеться про захист населення від актів насильства, тероризму тощо.73 Коли йдеться про блокування вебсайтів, правозахисники вважають: блокувати весь ресурс через те, що там можуть бути кілька матеріалів чи сторінок із забороненим контентом, — непропорційний захід. Разом із тим, із огляду на особливості мережі інтернет, описані вище, перенесення цих принципів у цифрову сферу вимагає додаткового вивчення та осмислення. Це визнають і на рівні ООН. Одна з учасниць обговорення послалася на доповідь ООН щодо епохи цифрової взаємозалежності: 74 «У багатьох випадках далеко не очевидно, як закони та договори про права людини, складені в пре-цифрову еру, повинні застосовуватися в епоху цифрових технологій», — сказано в доповіді.
71 https://zakon.rada.gov.ua/laws/show/995_004 72 http://legislationline.org/ru/documents/action/popup/id/14624 73 https://globalfreedomofexpression.columbia.edu/wp-content/uploads/2016/01/A-Callamard-NationalSecurity-and-FoE-Training.pdf 74 “The Age of Digital Interdependence” Report of the High-level Panel on Digital Cooperation. https://digitalcooperation.org/wp-content/uploads/2019/06/DigitalCooperation-report-web-FINAL-1.pdf
49
Інституційні рішення Питання інституційної структури, необхідної для запровадження обмежень, і питання повноважень таких органів обговорювалися досить фрагментарно. Учасники критикували наявну інституційну структуру як таку, що має надто багато інституцій і чиї функції не відповідають потребам. Представники громадського сектору наголошували на тому, що рішення про блокування вебсайтів може ухвалювати лише суд. Представники урядових структур із ними не погоджувалися: «Держава зобов'язана себе захищати. Не може правоохоронний орган бігати в суд на блокування чого-небудь, має бути державний орган, що розумітиме, який контент шкідливий / не шкідливий. Так є в Німеччині, США, Великій Британії і т. д.». Представники ГО визнавали завантаженість судів, а також необізнаність пересічних суддів у питаннях, пов'язаних із інформаційною сферою. Наразі серед учасників немає чіткого розуміння, яким мав би бути орган, що регулює свободу висловлення онлайн. Ішлося про аналог Національної ради з питань телебачення і радіомовлення, але для інтернету. Один із учасників вважав, що таким органом могла би стати Комісія, яка за своїм форматом була би схожа на Комісію із захисту суспільної моралі, але мала б завдання захищати національну безпеку: «З одного боку, це державний орган, а з іншого боку, до нього належали б експерти. Це був би напівдержавний експертний орган, який ухвалює рішення, оцінює контент і робить висновки відповідно до закону». Була пропозиція запровадити посади інформаційних комісарів — на кшталт Уповноваженого в інформаційній сфері. Наголошувалося на тому, що провайдери контент не регулюють. Питання відповідальності посередників Представники провайдерів наголошували на тому, що вони не виробляють контент самі, а лише виступають нейтральними посередниками й не можуть відповідати за контент, який розміщують треті особи. Представники ГО підтримували їх і звинувачували державу в намаганні перекласти свою відповідальність на провайдерів. З іншого боку, представники громадського сектору порушували питання про те, що робити з сайтами, які містять заборонений контент, але перебувають поза юрисдикцією України: «Дуже важко буде боротися з фейковими сайтами, які перебувають під патронатом Росії. Може бути хостинг, коли редакція за межами України, але контент спрямовано на Україну. Цю проблему вирішувати або шляхом блокування, що не дуже хочеться робити, або співпрацювати з Facebook, Google. Дуже багато користувачів саме через них заходять на сайти». Використовувати посередників для того, щоб запровадити якесь обмеження, — не нова й не унікальна тактика для інтернету. У своїй книзі “Who Controls the Internet” Тім Ву та Джек Ґолдсміт наводять приклад регулювання продажу товарів-підробок.
50
Очевидно, що держава не може зупинити виробництво таких товарів, якщо воно відбувається за її кордоном. Разом із тим, вона може зробити продаж таких товарів нелегальним на своїй території. У такому випадку посередниками виступлять великі торговельні мережі, яким доведеться виконувати цей закон — або платити штраф. У інтернеті роль таких посередників виконують інтернет-провайдери. Загалом у світі виокремлюють три види відповідальності посередників:75 «широкий імунітет», як у США, «умовна відповідальність», як у Європі, та «сувора відповідальність», як у Росії та Китаї. У США посередників звільнено від відповідальності за контент третіх осіб згідно зі Статтею 230 Закону про пристойність комунікацій (Communications Decency Act). Вони можуть або реагувати, або не реагувати на появу незаконного контенту. На думку Таллертона Джилеспи, автора книжки “Custodians of the Internet: Platforms, Content Moderation, and the Hidden Decisions That Shape Social Media”, таке рішення загалом є характерним для США, адже надає перевагу бізнесу на шкоду суспільному інтересу. Європейський підхід полягає в тому, що посередники не можуть відповідати за контент, про існування якого вони не знають. Разом із тим, вони зобов'язані відреагувати протягом певного часу після повідомлення про наявність такого контенту — або платити штраф. Детальніше про відповідальність посередників ідеться в рекомендаціях CM/Rec(2018)2 Комітету Міністрів Ради Європи державам-членам «Про роль і обов'язки інтернет-посередників».76 У Росії та Китаї провайдери мають активно моніторити трафік, адже на них покладено відповідальність за контент. Мало того, у Китаї критерії забороненого контенту нечіткі, а штрафи — високі. Таким чином держава змушує провайдерів застосовувати надмірні обмеження. Складніша логіка застосування таких правил до інтернет-платформ і пошукових серверів, які, хоч і не виробляють контент самі, нейтральними посередниками не можуть вважатися, адже здатні впливати на зміст того, що бачать користувачі, через алгоритми. Переважна більшість із них встановлюють власні правила, але це не предмет цього розділу. Ефективність обмежень і методи, альтернативні блокуванню Деякі ГО вважають Укази Президента №133/2017 та №126/2018, якими запроваджено економічні санкції проти російських соціальних мереж і деяких інтернет-сервісів, такими, що порушують права людини.
75 Fostering freedom online: the role of Internet intermediaries. https://unesdoc.unesco.org/ark:/48223/pf0000231162 76 https://rm.coe.int/1680790e14
51
Крім того, між ГО та державними органами немає згоди щодо ефективності такого рішення. Наприклад, за оцінкою ГО «Платформа прав людини», «блокування соціальних мереж “Вконтакте” та “Одноклассники” не стало запобіжником для поширення шкідливого контенту в інтернеті. 10 із 118 ухвалених (судових — ред.) вироків (тобто 8,5%) стосувалися матеріалів, розповсюджених у цих соцмережах уже після 16 травня 2017 року та відповідного указу Президента України».77 За словами представників правоохоронних органів, «є статистика, за якою люди перестали туди ходити й мережі втратили кількість користувачів. Держава вказала напрям, а не почала переслідувати, карати і т. д. І цього було достатньо». Держслужбовці також наголошували на тому, що санкції на соціальні мережі було накладено не лише через намагання обмежити доступ до певного контенту: «Принципова різниця, що за такої моделі, як у нас, випадає бізнесова складова. Прибуток для росіян упав у рази, бо через ВПН не можна робити таргетування. Ми ж не тільки з пропагандою, а й із розвідуванням боролися. І це завдання виконано». Йшлося і про інші загрози, пов'язані з російськими інтернет-ресурсами: «“Яндекс” має всі ознаки вірусу Троян, і чи держава має запускати у свій кіберпростір такий продукт — у мене питання». Як пояснюють у своїй книзі Тім Ву та Джек Ґолдсміт, державне регулювання зазвичай не ставить за мету повністю припинити якесь явище, мета — створити достатньо перешкод і збільшити витрати, необхідні для ведення певної діяльності. «Закон не повинен бути повністю ефективним, він може бути достатньо ефективним. Його мета лише в тому, щоб ускладнити певну діяльність і обмежити її до прийнятного рівня». Ніхто не робить висновок щодо неефективності законодавства, яке забороняє грабувати банки, через те, що пограбування іноді відбуваються, — стверджують Ву та Ґолдсміт. Дуже часто закон ухвалюють із розумінням, що невеликий відсоток уникнення відповідальності залишиться через те, що досягнення повного контролю хоча й можливе, але надто дороге для держави. Представники громадського сектору наголошують на тому, що блокування не може бути ефективним із технічних причин, адже через специфіку мережі або його буде легко обійти — або буде важко заблокувати саме той ресурс, який потрібно, адже він може розташовуватися за адресою, за якою розташовано й інші ресурси.78 Представники ГО також наголошували, що розвиток технологій робить блокування ще менш ефективним: «ІТ-спільнота має чітку тезу: з розвитком технологій блокування стає неможливим. Ви намагаєтеся блокувати сайт — а щосекунди він дає нову ІP-адресу.
77 Л. Опришко, В. Володовська, М. Дворовий. Свобода слова в інтернеті. Законодавчі ініціативи та практика розгляду кримінальних справ в Україні в 2014–2018 роках. Аналітичний звіт, м. Київ, березень 2019 78 https://zaborona.com/interactive/nash-onlajnleviafan/?fbclid=IwAR33AW9tqjPscwqCjJhfUgxCQ8YH4XrsDEW66fYF-PV7uZxsawqg92w4XrA
52
Держава пропонує рішення, які наражаються на нові технологічні рішення. І ці рішення неефективні». Також ішлося про можливість появи дзеркал заблокованих сайтів, виникали питання, чи має провайдер їх також блокувати. Встановлення обладнання для глибокого аналізу інтернет-трафіку породжує загрози приватності. Це визнавали і представники урядових структур: «Якщо встановлювати DPI, щоб заблокувати певний контент, — то в такому випадку потрібен DPI та установка сертифікатів кожному користувачеві. Це передбачає, що всі спецслужби, а люди зрозуміють, що всі спецслужби, — це й поліція, і сбу, і т. д., — будуть бачити, що вони пишуть, дивляться, абсолютно весь трафік». Серед негативних наслідків блокування учасники дискусій називали можливе зростання популярності заблокованих ресурсів: «Чи має бути блокування масовим? Я далеко не впевнений. Це тільки робити їм зайву популярність. Але якщо зробити блокування не масовим? Виокремити 5–10 ключових ресурсів». Як позитивну зміну підходів ГО відзначали положення законопроекту №10143, що впроваджує новий термін «заморозка інформації». Він означає, що власник платформи повинен на період, коли відбувається досудове розслідування, заморозити інформацію в межах визначеного часу, але не видалити. Такий захід можна вважати більш пропорційним. Незважаючи на технічні можливості обійти блокування, така практика дедалі ширше застосовується в різних країнах. Її поширення стикається з труднощами та наражається на спротив правозахисної спільноти. В Австралії намагання заблокувати сайти, що вводили користувачів у оману, призвело до блокування доступу до великої кількості непричетних сайтів.79 Велика Британія запроваджує обмеження доступу до порнографічного контенту для дітей. Згідно з Digital Economy Act 2017,80 провайдери мають заблокувати доступ до порнографічних сайтів та надавати його лише тим, хто підтвердив свій вік.81 Упровадження цієї норми стикається з технічними складнощами і вже кілька разів відкладалося, адже поки що не розроблено способів вікової ідентифікації користувачів без порушення їхнього права на приватність. Разом із тим, блокування доступу до сайтів, які дозволяли обмін контентом, захищеним правом інтелектуальної власності, існує в багатьох країнах. Противники блокувань наголошували, що боротьба з іноземними впливами має вестися іншими шляхами. Було запропоновано проводити просвітницькі кампанії, «впровадити стратегічні комунікації й фінансувати національне суспільне мовлення, щоб перебивати ворожий темник».
79 www.computerworld.com.au/article/621872/government-releases-guidelines-website-blocking-power/ 80 Digital Economy Act 2017 // www.legislation.gov.uk/ukpga/2017/30/pdfs/ukpga_20170030_en.pdf 81 Burges M. The UK porn block, explained (July 11, 2019) // www.wired.co.uk/article/porn-block-uk-wiredexplains
53
Противники блокувань також вказували, що причиною розповсюдження шкідливого контенту часто є якесь явище в реальному житті, подолати яке неможливо шляхом блокування доступу до самого контенту. На їхню думку, прибирати треба не контент, а першопричину його появи та розповсюдження. Учасники також наголошували, що швидкий розвиток технологій не дозволить законодавству бути статичним, адже з плином часу треба буде мігрувати на нові технології. Вартість обладнання та хто має за нього платити Серед критики на адресу поточних ініціатив щодо обмеження контенту в інтернеті провайдери порушували питання вартості встановлення обладнання, а також згадували той факт, що специфікації такого обладнання, скоріш за все, вказують на намагання надати преференції конкретному учаснику ринку. Вартість встановлення такого обладнання ляже на абонентів, адже операторам доведеться компенсувати вартість обладнання шляхом підвищення ціни. За умов ринкової економіки економічні суб'єкти — важлива частина суспільства, вони не лише надають послуги, але й платять податки. Державі вигідно, щоб вони існували й отримували прибуток, тому в таких випадках часто застосовують не примус, а різні способи стимулювання, як, наприклад, тимчасове звільнення від податків, субсидування й інші методи, що зроблять виконання закону менш обтяжливим чи більш привабливим для економічного суб'єкта. Разом із тим, це рішення має бути ухвалено після широкої дискусії та введення запобіжників щодо можливого зловживання доступом до інформації, зібраної за допомогою зазначеного обладнання. Виконання рішень Питання виконання рішень обговорювалося переважно в контексті того, що провайдери не зобов'язані виконувати рішення РНБО щодо блокування, адже її рішення поширюються лише на органи виконавчої влади. У разі ухвалення рішення щодо припустимості блокувань, питання виконання рішень також має бути унормовано. Процедури апеляції Питання можливості подавати апеляцію на рішення щодо розповсюдження контенту не обговорювалося під час зустрічей, проте механізм апеляції — важлива складова механізму відновлення порушених прав. Питання недовіри до дій держави Недовіра до дій держави загалом і в інтернеті зокрема була очевидною в дискусіях за участі громадського сектору та IT-спільноти.
54
Таке ставлення серед іншого викликають авторитарні традиції в державному управлінні, корупційні скандали, що виникають навколо правоохоронних органів, традиції ухвалення рішень, мотивованих політичною доцільністю, а не правом, зловживання силою. «Усі ці закони пишуться для того, щоб за необхідності швидко заблокувати ресурси», — ця думка досить поширена в громадському секторі. Недовіра до держави — традиційна для технічної спільноти, представники якої від самого початку розвитку інтернету вважали його простором абсолютної свободи, вільним від втручання «територіальних урядів».82 Будь-яке намагання держави втручатися в роботу мережі, базовану на складній системі взаємовідносин між провайдерами різних послуг у інтернеті, сприймається вороже. В Україні ця ворожість посилюється репресивністю дій правоохоронних органів у ситуації, коли правове поле недостатньо унормовано. Цю недовіру визнавали й учасники дискусій із урядовцями: «У самих блокуваннях немає нічого такого. Це питання довіри до інституцій, які забороняють. У нас до держави та інституцій завжди ставляться з підозрою». Така ситуація значно ускладнює пошук регуляторних рішень для захисту суспільних інтересів.
2.7 КІБЕРБЕЗПЕКА џ
Постановка проблеми
Кібербезпека в Україні так і не стала предметом консенсусу держави та експертного середовища. Заходи й законодавчі ініціативи, що їх часто пропонують державні органи в цій сфері, викликають у експертів сумніви щодо їхньої ефективності. З іншого боку, експерти часто пропонують рішення, неприйнятні (або нереалістичні) для держави. 82 Декларація незалежності кіберпростору авторства Джона Перрі Барлоу. www.eff.org/cyberspace-independence
55
џ
Загальний контекст проблеми
Кібербезпека — процес, що неодмінно супроводжує розвиток інформаційного суспільства. Поява нових (чи глибше проникнення вже наявних) інформаційних технологій ставить питання про безпеку людини й держави в цьому процесі. Кожна держава намагається знайти відповідь на ці виклики або самостійно, або координуючи свою діяльність із іншими країнами. Результатами проміжних дискусій стало ухвалення Конвенції Ради Європи про кіберзлочинність і формування майже в усіх розвинених державах світу стратегічних документів (у деяких країнах вони вже пройшли 2–3 корегування) з питань кібербезпеки. Крім загальних стратегій, дедалі частіше ухвалюють профільні законодавчі акти, що мають унормувати нові відносини в суспільстві, які виникли внаслідок інформатизації. У 2019 році Європейський парламент і Рада Європейського Союзу ухвалили й відповідний закон у ЄС (The EU Cybersecurity Act), який моделює нову архітектуру кібербезпеки ЄС. Схожий документ із 2018 року діє й в Україні. Водночас ситуація для України частково ускладнюється вкрай неоднорідним процесом розвитку законодавства в сфері кібербезпеки — ціла низка нормативно-правових документів, які де-факто належать до цієї сфери (в т. ч. Закони України «Про захист інформації в інформаційно-телекомунікаційних системах», «Про телекомунікації», «Про державну таємницю» та інші), а також підзаконних актів щодо вимог про захист інформації, сформувалися ще на початку 90-х років, і логіка їхнього функціонування базувалася на панівній ідеї держави як єдиного реального суб'єкта кіберпростору, що здійснює ефективне самостійне регулювання, визначає та встановлює правила. Однак із подальшим розвитком ІКТ та ринкової економіки ситуація радикально змінилася — дедалі більше недержавних суб'єктів претендують на позиції стейкхолдерів: це і приватні організації, і спеціалізовані асоціації, і окремі ІТ-експерти, і активістиволонтери. А водночас кіберпростір дедалі більше стає приватним, — і в сенсі контролю ІТ-інфраструктури, і з огляду на те, хто є основними об'єктами захисту, — хоча державні таємниці чи державні інформаційні ресурси й далі залишаються об'єктами підвищеної уваги з боку вповноважених державних структур, дедалі більшої ваги набуває захист суто приватних об'єктів: банківської сфери, транспорту, енергетики, авіації й інших елементів критичної інфраструктури. Однак держава на цю зміну реагує повільно, майже не змінюючи підходів до кібербезпеки, не трансформуючи характеру правових взаємовідносин і погано адаптуючи міжнародні практики до потреб сьогодення. Експертне ж співтовариство та представники бізнесу наполягають на більш масштабній та швидкій трансформації підходів, звинувачуючи державні установи в повільності та небажанні змінюватися. Слід визнати: багато в чому така ситуація склалася внаслідок того, що суб'єкти сектору кібербезпеки та неурядові стейкхолдери дотримуються дуже різних імперативів та цілей.
56
Для перших ключовим залишається питання всеосяжної безпеки тих ресурсів, відповідальність за захист яких на них безпосередньо покладено, до того ж у тих формах і методах, які вони зможуть проконтролювати і які можуть підтвердити. Для других ключові питання — ефективність заходів, зменшення втручання держави у справи приватних компаній, мінімізація регуляторного впливу та залучення об'єктів захисту до процесу вироблення безпекових підходів. џ
Погляди на проблему представників урядового та неурядового секторів
Незважаючи на відмінність підходів, і урядові структури, і недержавний сектор турбують переважно одні й ті самі проблеми. Водночас підходи до їх вирішення є або частково, або цілком відмінні. Один із прикладів — недосконалість законодавства в сфері протидії кіберзлочинності, зокрема питання збереження провайдерами даних про з'єднання абонента (як того вимагає Конвенція про кіберзлочинність). «У законодавстві немає вимог, які зобов'язували б зберігати ці дані. Крім того, у нас не імплементовано всю Конвенцію про кіберзлочинність, якраз у частині термінового збереження даних», — зазначають представники влади, хоча, за їхніми словами, «Закон про телекомунікації зобов'язує оператора зберігати відомості про з'єднання абонента на період позовної давності. Але це так погано виписано, що оператор зберігає якісь платежі, хоча має бути час у мережі — вхід/вихід». З іншого боку, приватний сектор робить акцент на неімплементованості Конвенції про кіберзлочинність, зокрема вказуючи на стратегічну проблему — неточний переклад Конвенції, який багато в чому спотворює її зміст і призначення. Відтак уточнення перекладу й подальша її повноцінна імплементація мають стати основою впорядкування нормативноправового поля. Урядові структури, як і приватні, занепокоєні питанням надання безпечного доступу до мережі інтернет усім клієнтам (зокрема державним структурам) на території України. «Україна посідає четверте місце за дешевизною інтернету. З іншого боку, у нас є найменше послуг захищеного інтернету. Безпечні послуги — це відсутність спаму, порнографії, фільтрація негативного контенту. Знайдіть десь, де написано, що ми надаємо послуги, не пов'язані з рекламою, вірусом Petya. Нема таких послуг — або їх дуже мало», — зазначають представники урядових структур. Але рішення, яке вони пропонують для вирішення цієї проблеми, — максимальне поширення КСЗІ для всіх сфер — неприйнятне для приватного сектору, який цілком обґрунтовано сумнівається в тому, що КСЗІ справді надає ефективний захист системам. Натомість незалежні експерти пропонують більше зосередитися на загальновизнаних міжнародних стандартах (ISO 27001, NIST та інших). Держава в Законі України «Про основні засади забезпечення кібербезпеки України» заклала можливості використання таких стандартів, але практичні кроки вкрай незначні. Невирішеність цієї проблеми створює труднощі й для самої держави, що як клієнт вимагає від операторів надійного й безпечного доступу для своїх потреб.
57
Неурядовий сектор звертає увагу на проблеми якості підготовки співробітників правоохоронних органів та суддів, які часто виявляються неспроможними зрозуміти сутність кіберзлочинів, а відтак виявляються неефективними, коли потрібна реальна допомога громадянам, що стикаються з такими видами злочинів: «Слідчий не розуміє, що їм потрібно від оператора, що таке електронний доказ, як його прикласти до кримінальної справи і т. д… Якщо не навчати прокуратуру, то прокурор не зрозуміє, що значить “украли через інтернет”. Часто ми не можемо з працівниками кіберполіції довести, чому це злочин. Прокурори і суди не розуміють кіберзлочинів. Хоча б один-два працівники суду повинні проходити перепідготовку», — зауважують представники неурядового сектору. Представники безпекового сектору погоджуються щодо наявності проблеми та вважають, що вона має вирішуватися не лише силами держави, а й із залученням науковоекспортного потенціалу неурядового сектору. Подальший євроінтеграційний поступ зумовить і проблему узгодження українського законодавства з його європейськими аналогами. Уже на цьому етапі важливо ставити питання про спроможність (на законодавчому рівні) України запроваджувати підходи, закладені в Акті з кібербезпеки ЄС (Cybersecurity Act). Можна чекати, що низка підходів, закладених у цьому документі, викличуть у нас жорстку дискусію за спроби їх упровадження, як це відбувається нині в країнах ЄС. Зокрема це норма про поступовий перехід на сертифіковані ІТ-продукти, що породжує питання про сутність такої сертифікації та спроможності центрів сертифікації провадити свою діяльність якісно. Слід визнати, що в Україні, де рівень довіри до державних структур залишається стабільно низьким, і ці питання також стануть предметом інтенсивного обговорення. Більшість проблем, які виникають у цій сфері, можна і треба вирішувати в межах ефективного державно-приватного партнерства. Крім того, впровадження таких механізмів — це вимога і Стратегії кібербезпеки України (ухваленої в 2016 році), і Закону України «Про основні засади забезпечення кібербезпеки України» (від 2017 року). Водночас чинний Закон України «Про державно-приватне партнерство» геть не придатний до виконання такого завдання, а взаємна недовіра урядових структур і недержавного сектора лише ускладнює ситуацію. Відтак потрібні заходи посилення довіри та чіткі й зрозумілі інструменти реалізації державно-приватного партнерства в сфері кібербезпеки. Громадський сектор ставить питання і щодо інституційної спроможності чинної моделі кібербезпеки в Україні, вважаючи її здебільшого надмірною та неефективною (за повноваженнями та кількістю залучених структур, за їхніми здебільшого обмежувальними підходами). Урядові структури оцінюють поточну модель переважно позитивно, вказуючи на те, що повноваження державних структур загалом чітко розділено й визначено законодавчо, а проблеми спроможності переважно пов'язано з труднощами фінансового чи кадрового характеру.
58
џ
Напрями розвитку
Ключове рішення більшості проблемних питань — формування стійкої та дієвої системи державно-приватного партнерства для вирішення не лише окремих завдань, а й усієї сукупності проблем, що притаманні сектору кібербезпеки. Відтак базовими напрямами подальшої нормативно-правової роботи мають стати: џ
џ
џ
џ
џ
џ
Формування належного нормативно-правового забезпечення державноприватного партнерства в сфері кібербезпеки. Для цього уточнення потребує Закон України «Про державно-приватне партнерство», має бути точніше сформульовано положення про форми й інструменти державноприватного партнерства в Законі України «Про основні засади забезпечення кібербезпеки України». Державно-приватне партнерство має стати неодмінною складовою загального процесу кібербезпекової політики України. Завдання — сформувати всі необхідні умови такого партнерства, дозволяючи учасникам самим обирати швидкість його налагодження. Уточнення перекладу Конвенції про кіберзлочинність та вжиття заходів для її повноцінної імплементації в національне законодавство. Процес такого уточнення сам по собі має стати частиною діалогового процесу між урядовими та неурядовими структурами й може відбуватися за посередництва парламентських структур. Формування вимог до співробітників правоохоронних структур, органів прокуратури та суддів у частині набуття цифрових компетентностей у межах їхніх повноважень, необхідних для ефективного захисту прав громадян у цифровому світі. Уточнення законодавчих вимог щодо захисту інформації на базі міжнародних стандартів, які поступово мають стати основним критерієм захищеності урядових і приватних телекомунікаційних систем та умовою надання послуг урядовим структурам. Розпочати заходи із завчасної поступової гармонізації українського законодавства в сфері кібербезпеки з відповідними європейськими регуляторними актами та директивами. Поступове зближення українських нормативно-правових документів із положеннями європейських документів потребує інтенсивного діалогу на рівні парламентських структур, що можуть не лише виступити посередником у таких дискусіях, але й імплементувати напрацьовані рішення до законодавства. Захист об'єктів критичної інфраструктури від кібератак залишається одним із ключових векторів кібербезпекової політики держави. Водночас держава не має в цьому питанні вдаватися до виключно волюнтаристських методів регулювання, а натомість активніше використовувати принципи консультацій і співрегулювання, спираючись на міжнародні підходи та практики.
59
џ
Розбудова довіри в кіберпросторі потребує не лише неформальних заходів, але й впровадження чітко визначених майданчиків, які б займалися цим на постійній основні. Досвід західних країн свідчить про доцільність навіть законодавчого визначення інструментів посилення довіри. Важливий елемент таких заходів — реалізація спільних проектів урядових та неурядових структур, налагодження обміну інформацією про кіберінциденти, заходи з поліпшення цифрової освіти для широкого загалу. Відтак нормативно-проектну діяльність має бути спрямовано на спрощення реалізації таких проектів, зокрема вдосконалення бюджетного законодавства (спрощення співфінансування проектів), впровадження в освітній процес (і не лише) цифрових навичок, створення законодавчих передумов формування Центрів обміну інформацією про кіберінциденти. Водночас ці заходи мають лише спрощувати таку діяльність, але не примушувати до неї ані урядові, ані недержавні структури.
60
ВИСНОВКИ Суб'єкти правовідносин і цифрові права Швидкий технологічний розвиток, необхідність захисту прав людини в цифрову епоху, виклики, що постають перед демократичними країнами в XXI столітті, та безпекова ситуація вимагають від України пошуку рішень щодо правовідносин у онлайні. џ
Ці рішення можливі через активну участь усіх зацікавлених сторін у пошуку балансу між свободою слова та необхідністю захисту. У цьому питанні важливо перейти від взаємної недовіри стейкхолдерів (держава vs громадянське суспільство та бізнес) до взаємодії.
џ
Тематика прав і обов'язків суб'єктів правовідносин у інтернеті потребує діалогу на основі підходу мультистейкхолдеризму та формування відповідних пропозицій щодо функціонування кожної групи.
џ
Права людини в онлайні, або ж цифрові права, стають неодмінною складовою загального каталогу прав людини у ХХІ столітті. Нормативноправове забезпечення цифрових прав має два ключові орієнтири: 1) усе, що стосується прав людини, передусім має бути відображено в Конституції України; 2) змістове наповнення нормативних положень повинно відповідати вимогам Ради Європи, зокрема викладеним у Рекомендації Комітету міністрів Ради Європи державам-членам щодо посібника з прав людини для інтернет-користувачів.
џ
Механізми взаємодії держави з технологічними гігантами (Google, Facebook та інші) потребують інституалізації, включно з нормативно-правовим забезпеченням, що ляже в основу такої взаємодії.
Управління інтернетом џ
Відсутність точних понять та визначень у сфері «управління інтернетом», зокрема в українському законодавстві, і досі лишається суттєвою перепоною на шляху утвердження її ефективної моделі в Україні. Ця ситуація безпосередньо пов'язана з невизначеністю й інших важливих понять, зокрема поняття «інтернет». Більшість із цих проблем може бути вирішено через зближення українського законодавства з європейським;
џ
Із огляду на тривалі дискусії щодо моделі управління, більшість суб'єктів правовідносин погоджуються з тим, що саме мультистейкхолдеризм — та основа, на якій має будуватися консенсус. Водночас держава лише зараз підходить до визначення урядової інституції, що відповідала б за питання «управління інтернетом», а вирішення питання ширшої участі держави у IGFUA має стати одним із пріоритетів; 61
џ
Партнерство держави та приватного сектора стає ключовим елементом у виробленні не лише належної моделі «управління інтернетом», але й загалом адекватного законодавства, а також у недопущенні ухвалення недосконалих законів та визначенні дискусійних питань (наприклад — анонімність у мережі).
Персональні дані џ
Питання безпеки персональних даних користувачів — один із ключових викликів XXI століття в усьому світі, однак в Україні це питання переважно залишається на маргінесі урядового управлінського дискурсу;
џ
GDPR та перспектива його впровадження в Україні й далі залишається одним із важливих питань у дискусіях між урядовим і неурядовим сектором. Ключові проблеми — недостатня інституційна спроможність (зокрема відсутність наглядового органу), що проявиться у разі впровадження GDPR, а також брак комунікації між українським урядом та інтернет-платформами;
џ
Безпека та захищеність персональних даних громадян (зокрема обробка персональних даних і розпоряджання ними) залишається ключовим викликом для держави в цій сфері, однак увага з боку державних інституцій (особливо на тлі заявлених планів про масштабну цифровізацію) вкрай недостатня.
Кібербезпека џ
Попри оновлення українського законодавства в сфері кібербезпеки, у частині вимог щодо стандартизації кіберзахисту держава все ще використовує застарілі підходи. Оновлення підходів щодо кіберзахисту (в т. ч. із розширенням використання міжнародних стандартів ISO 27001 та NIST) має стати домінантою у формуванні державної політики в цій сфері, а сам процес оновлення таких вимог — предметом широкого державноприватного діалогу;
џ
Швидкість процесу імплементації Конвенції Ради Європи про кіберзлочинність так само незадовільна, і цей процес пов'язаний із численними дискусійними (між урядом та бізнесом) питаннями, зокрема щодо збереження у провайдерів даних про з'єднання абонента. Це питання тісно пов'язано з іншою, ширшою проблемою — неточність перекладу самої Конвенції багато в чому спотворює її зміст і призначення;
џ
Незадовільним залишається рівень «технічної» підготовки суддів та співробітників правоохоронних органів, які займаються питаннями кібербезпеки та правовідносин у онлайні, — а це зумовлює низький рівень розслідування злочинів у цій царині. Масштабні освітні ініціативи для суддів та правоохоронців — одне з рішень, спрямованих на покращення їхнього розуміння цієї сфери;
62
џ
Європейські інтеграційні прагнення України вже в осяжній перспективі порушать питання про спроможність держави узгодити українське законодавство з найкращими європейськими законодавчими практиками. Процес цього узгодження повинен розпочатися вже зараз.
Регулювання контенту в інтернеті Унормування правовідносин у сфері державного регулювання контенту в інтернеті ускладнено необхідністю узгоджувати часто полярні позиції стейкхолдерів щодо основоположних питань, серед яких — питання предмету захисту; питання меж втручання держави в інформаційну сферу взагалі та в інтернеті зокрема; питання втручання держави в інформаційну сферу під час міждержавного конфлікту, що має гібридний характер; питання недовіри до держави та, відповідно, небажання дозволяти силовим органам користуватися засобами обмеження свободи висловлення думки в інтернеті. Без зближення позицій різних стейкхолдерів та заходів побудови довіри між ними намагання врегулювати правовідносини в цій сфері лишатимуться неефективними й будуть так само виливатися в протистояння громадянського суспільства, технічної спільноти та держави. Щоб зблизити позиції стейкхолдерів, громадянському суспільству та державним органам запропоновано проводити такі заходи: џ
Дискусії та напрацювання пропозицій щодо законодавчих змін із метою остаточного визначення фундаментального підходу держави до захисту громадян від розповсюдження протизаконного та деструктивного контенту, інших методів впливу на свідомість та вибір громадян;
џ
Для представників різних груп стейкхолдерів — спільне вивчення теоретичних та практичних засад регулювання правовідносин у інтернеті в демократичних країнах, проведення спільних експертних семінарів на цю тему;
џ
Заходи обміну знаннями про положення міжнародного права щодо прав людини, новітні загрози в інформаційній сфері, наявні технічні інструменти, переваги та ризики їх використання для обмеження свободи слова в інтернеті;
џ
Дискусії щодо можливих заходів контролю за використанням обмежувальних заходів у інтернеті з боку держави;
џ
Освітні та дискусійні заходи для широкої аудиторії з метою підвищити обізнаність громадян.
Запропоновано залучати до таких заходів представників державних і недержавних аналітичних інституцій, медійних організацій, народних депутатів та їхніх помічників, представників організацій, що репрезентують виробників контенту. 63
Список авторів Баровська Анастасія (розділ 2, підрозділи 2.1, 2.3, 2.5); Дубов Дмитро (розділ 2, підрозділи 2.2, 2.4, 2.7); Мороз Віталій (розділ 1); Каздобіна Юлія (розділ 2, підрозділ 2.6).
Фото ліцензовані для використання у некомерційних цілях. Джерела та авторські права: Depositphotos.com: AllaSerebrina (обкладинка), EdZbarzhyvetsky (обкладинка). Pixabay.com: Gerd Altmann (1), (2), MabelAmber (4), (5). Flickr.com: EU Civil Protection and Humanitarian Aid (3), Ministry of Defense of Ukraine (6), HCC Public Information Office (7). Unsplash.com: Jez Timms (8).